TA505 is a cybercrime group that has been active since 2014, targeting Education and Financial institutions. In February 2020, Maastricht University, a public university in the Netherlands, reported that it was a victim of TA505’s massive ransomware attack using phishing emails. TA505 usually uses phishing emails to deliver malicious Excel files that drop payloads once they are opened. TA505’s phishing emails use attachments featuring an HTML redirector for delivering the malicious Excel files, according to research conducted by TrendMicro in July 2019. Recently, a new phishing email campaign using the same attack strategy was discovered by the Microsoft Security Intelligence team. In this blog post, we will take a look at the files used in the attack and explore how OPSWAT’s Deep Content Disarm and Reconstruction technology (Deep CDR™ Technology) can help prevent similar attacks.
וקטורי התקפה
זרימת ההתקפה בה נעשה שימוש נפוצה מאוד.:
- הודעת דיוג עם קובץ מצורף ב-HTML נשלחת לקורבן.
- כאשר הקורבן פותח את קובץ ה-HTML, הוא יוריד אוטומטית קובץ מאקרו זדוני של אקסל.
- קובץ אקסל זה משליך מטען זדוני כאשר הקורבן פותח אותו
קבצי ה-HTML והאקסל נבדקו metadefender opswat בתחילת פברואר 2020.
קובץ ה-HTML זוהה כדף Cloudflare מזויף עם JavaScript פשוט יחסית כדי להפנות משתמשים לדף הורדה לאחר 5 שניות.
קובץ האקסל מכיל מספר פקודות מאקרו מעורפלות.
כאשר הקורבן פותח את הקובץ ומפעיל את מאקרו, מופיע ממשק משתמש מזויף של תהליך Windows, שהוא למעשה טופס Visual Basic, וגורם לקורבן לחשוב שאקסל מגדיר משהו.
ברקע, המאקרו פועל ומשחרר כמה קבצים במערכת של הקורבן עם נתיבי הקבצים הבאים: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
How can Deep CDR™ Technology protect you from the phishing attack?
If the HTML file is sanitized by Deep CDR™ Technology, all risk vectors will be removed, including Javascript. After the process, the user opens the sanitized file without the mentioned redirection. As a result, the malicious Excel file can’t be downloaded either.
Additionally, TA505’s phishing campaigns used to send the malicious Excel file as an email attachment to its victims directly. Again, Deep CDR™ Technology is effective in this case. It removes every Macros, OLE and also recursively sanitizes all images in the file.
מַסְקָנָה
It is witnessed that TA505 is very active with email phishing campaigns nowadays. Various sophisticated malware types have been used to increase the chances of getting into your system. Enterprises are advised to improve their employee phishing awareness training as well as their security system. MetaDefender Core leveraging 6 industry-leading cybersecurity technologies, in combination with MetaDefender Email Security, brings the most comprehensive protection to your organization. MetaDefender’s Multiscanning technology utilizes the power of more than 35 commercial AV engines to detect nearly 100% known malware, while Deep CDR™ Technology against zero-day attacks by unknown threats. Besides, as an essential PII protection layer, Proactive DLP prevents sensitive data in files and emails from entering or leaving your organization.
קבע פגישה עם OPSWAT מומחה טכני שילמד כיצד להגן על הארגון שלך מפני איומי סייבר מתקדמים.
הַפנָיָה:
