TA505 là một nhóm tội phạm mạng hoạt động từ năm 2014, nhắm mục tiêu vào các tổ chức Giáo dục và Tài chính. Vào tháng 2 năm 2020, Đại học Maastricht, một trường đại học công lập ở Hà Lan, báo cáo rằng họ là nạn nhân của cuộc tấn công ransomware quy mô lớn do TA505 thực hiện thông qua email lừa đảo. TA505 thường sử dụng email lừa đảo để phát tán các tệp Excel độc hại, khi được mở ra sẽ thả mã độc. Theo nghiên cứu của TrendMicro vào tháng 7 năm 2019, email lừa đảo của TA505 sử dụng các tệp đính kèm có chứa trình chuyển hướng HTML để phát tán các tệp Excel độc hại. Gần đây, một chiến dịch email lừa đảo mới sử dụng cùng chiến lược tấn công đã được nhóm Tình báo An ninh của Microsoft phát hiện. Trong bài đăng này, chúng ta sẽ xem xét các tệp được sử dụng trong cuộc tấn công và tìm hiểu cách thức hoạt động của chúng. OPSWAT Công nghệ Deep Content Disarm and Reconstruction (Công nghệ Deep CDR™) của họ có thể giúp ngăn chặn các cuộc tấn công tương tự.
Vector tấn công
Luồng tấn công được sử dụng là rất phổ biến.:
- Email lừa đảo có tệp đính kèm HTML được gửi đến nạn nhân.
- Khi nạn nhân mở tệp HTML, nó sẽ tự động tải xuống tệp Excel macro độc hại.
- Tệp Excel này giảm tải trọng độc hại khi nạn nhân mở nó
Các tệp HTML và Excel đã được kiểm tra trên metadefender.OPSWAT.com vào đầu tháng 2/2020.
Tệp HTML được xác định là trang Cloudflare giả mạo với JavaScript tương đối đơn giản để chuyển hướng người dùng đến trang tải xuống sau 5 giây.
Tệp Excel chứa một số Macro bị xáo trộn.
Khi nạn nhân mở tệp và bật Macro, giao diện người dùng Windows Process giả mạo, thực sự là biểu mẫu Visual Basic, xuất hiện khiến nạn nhân nghĩ rằng Excel đang cấu hình thứ gì đó.
Trong nền, Macro chạy và thả một vài tệp trên hệ thống của nạn nhân với các đường dẫn tệp sau: C: \ Users \ user \ AppData \ Local \ Temp \ copy13.xlsx, C: \ Users \ user \ AppData \ Roaming \ Microsoft \ Windows \ Templates \ sample_.dll (RAT)
Công nghệ Deep CDR™ có thể bảo vệ bạn khỏi các cuộc tấn công lừa đảo như thế nào?
Nếu tệp HTML là làm sạch Nhờ công nghệ Deep CDR™, tất cả các yếu tố rủi ro sẽ được loại bỏ, bao gồm cả Javascript. Sau khi quá trình hoàn tất, người dùng sẽ mở ứng dụng. làm sạch tệp tin không có lệnh chuyển hướng đã đề cập. Do đó, tệp tin Excel độc hại cũng không thể được tải xuống.
Ngoài ra, các chiến dịch lừa đảo của TA505 thường gửi tệp Excel độc hại dưới dạng tệp đính kèm email trực tiếp cho nạn nhân. Một lần nữa, công nghệ Deep CDR™ tỏ ra hiệu quả trong trường hợp này. Nó loại bỏ mọi Macro, OLE và cũng làm sạch đệ quy tất cả hình ảnh trong tệp.
Kết thúc
Hiện nay, nhóm tin tặc TA505 đang hoạt động rất tích cực trong các chiến dịch tấn công lừa đảo qua email. Chúng sử dụng nhiều loại phần mềm độc hại tinh vi để tăng khả năng xâm nhập vào hệ thống của bạn. Các doanh nghiệp nên tăng cường đào tạo nâng cao nhận thức về phòng chống lừa đảo qua email cho nhân viên cũng như hệ thống bảo mật của mình. MetaDefender Core , kết hợp với MetaDefender Email Security và tận dụng 6 công nghệ an ninh mạng hàng đầu trong ngành, mang đến sự bảo vệ toàn diện nhất cho tổ chức của bạn. MetaDefender 'S Multiscanning Công nghệ này tận dụng sức mạnh của hơn 35 công cụ chống virus thương mại để phát hiện gần 100% phần mềm độc hại đã biết, trong khi công nghệ Deep CDR™ chống lại các cuộc tấn công zero-day từ các mối đe dọa chưa được biết đến. Bên cạnh đó, như một lớp bảo vệ thông tin cá nhân nhạy cảm thiết yếu, Proactive DLP ngăn chặn dữ liệu nhạy cảm trong các tệp và email xâm nhập hoặc rời khỏi tổ chức của bạn.
Lên lịch cuộc họp với OPSWAT Chuyên gia kỹ thuật để tìm hiểu cách bảo vệ tổ chức của bạn khỏi các mối đe dọa mạng nâng cao.
Tham khảo:
