TA505 היא קבוצת פשעי סייבר הפעילה מאז 2014, ומכוונת למוסדות חינוך ופיננסים. בפברואר 2020, אוניברסיטת מאסטריכט, אוניברסיטה ציבורית בהולנד, דיווחה כי נפלה קורבן למתקפת כופר מסיבית של TA505 באמצעות הודעות דוא"ל פישינג. TA505 משתמשת בדרך כלל בהודעות דוא"ל פישינג כדי להעביר קבצי Excel זדוניים שמשחררים מטענים לאחר פתיחתם. הודעות הדוא"ל הפישינג של TA505 משתמשות בקבצים מצורפים הכוללים ניתוב HTML למסירת קבצי האקסל הזדוניים, כך עולה ממחקר שערכה TrendMicro ביולי 2019. לאחרונה, התגלה קמפיין דוא"ל פישינג חדש המשתמש באותה אסטרטגיית התקפה על ידי צוות המודיעין האבטחה של מיקרוסופט. בפוסט בבלוג זה, נבחן את הקבצים ששימשו במתקפה ונבחן כיצד... OPSWAT טכנולוגיית Deep Content Disarm and Reconstruction ( Deep CDR ) של חברת יכולה לסייע במניעת התקפות דומות.
וקטורי התקפה
זרימת ההתקפה בה נעשה שימוש נפוצה מאוד.:
- הודעת דיוג עם קובץ מצורף ב-HTML נשלחת לקורבן.
- כאשר הקורבן פותח את קובץ ה-HTML, הוא יוריד אוטומטית קובץ מאקרו זדוני של אקסל.
- קובץ אקסל זה משליך מטען זדוני כאשר הקורבן פותח אותו
קבצי ה-HTML והאקסל נבדקו metadefender opswat בתחילת פברואר 2020.
קובץ ה-HTML זוהה כדף Cloudflare מזויף עם JavaScript פשוט יחסית כדי להפנות משתמשים לדף הורדה לאחר 5 שניות.
קובץ האקסל מכיל מספר פקודות מאקרו מעורפלות.
כאשר הקורבן פותח את הקובץ ומפעיל את מאקרו, מופיע ממשק משתמש מזויף של תהליך Windows, שהוא למעשה טופס Visual Basic, וגורם לקורבן לחשוב שאקסל מגדיר משהו.
ברקע, המאקרו פועל ומשחרר כמה קבצים במערכת של הקורבן עם נתיבי הקבצים הבאים: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
איך יכול Deep CDR להגן עליך מפני מתקפת פישינג?
אם קובץ ה-HTML עובר ניקוי על ידי Deep CDR , כל וקטורי הסיכון יוסרו, כולל Javascript. לאחר התהליך, המשתמש פותח את הקובץ שעבר ניקוי ללא ההפניה שהוזכרה. כתוצאה מכך, גם לא ניתן יהיה להוריד את קובץ האקסל הזדוני.
בנוסף, קמפייני הפישינג של TA505 שלחו את קובץ האקסל הזדוני כקובץ מצורף לדוא"ל ישירות לקורבנותיו. שוב, Deep CDR יעיל במקרה הזה. זה מסיר כל מאקרו, OLE וגם מנקה באופן רקורסיבי את כל התמונות בקובץ.
מַסְקָנָה
כיום, ניתן לראות כי TA505 פעיל מאוד בקמפיינים של פישינג בדוא"ל. מגוון סוגי תוכנות זדוניות מתוחכמות שימשו כדי להגדיל את הסיכוי לחדור למערכת שלכם. מומלץ לארגונים לשפר את הכשרת המודעות לפישינג של עובדיהם וכן את מערכת האבטחה שלהם. MetaDefender Core הממנפת 6 טכנולוגיות אבטחת סייבר מובילות בתעשייה, בשילוב עם MetaDefender Email Security , מביאה את ההגנה המקיפה ביותר לארגון שלכם. MetaDefender של Multiscanning הטכנולוגיה מנצלת את העוצמה של יותר מ-35 מנועי אנטי-וירוס מסחריים כדי לזהות כמעט 100% תוכנות זדוניות ידועות, בעוד Deep CDR מפני מתקפות אפס-יום על ידי איומים לא ידועים. בנוסף, כשכבת הגנה חיונית מפני פרטים אישיים מזהים, Proactive DLP מונע מנתונים רגישים בקבצים ובאימיילים להיכנס או לצאת מהארגון שלך.
קבע פגישה עם OPSWAT מומחה טכני שילמד כיצד להגן על הארגון שלך מפני איומי סייבר מתקדמים.
הַפנָיָה:
