TA505 là một nhóm tội phạm mạng đã hoạt động từ năm 2014, nhắm vào các tổ chức Giáo dục và Tài chính. Vào tháng 2 năm 2020, Đại học Maastricht, một trường đại học công lập ở Hà Lan, đã báo cáo rằng họ là nạn nhân của cuộc tấn công ransomware lớn của TA505 bằng cách sử dụng email lừa đảo. TA505 thường sử dụng email lừa đảo để gửi các tệp Excel độc hại thả tải trọng sau khi chúng được mở. Email lừa đảo của TA505 sử dụng các tệp đính kèm có trình chuyển hướng HTML để gửi các tệp Excel độc hại, theo nghiên cứu do TrendMicro thực hiện vào tháng 7 năm 2019. Gần đây, nhóm Microsoft Security Intelligence đã phát hiện ra một chiến dịch email lừa đảo mới sử dụng cùng một chiến lược tấn công. Trong bài đăng trên blog này, chúng ta sẽ xem xét các tệp được sử dụng trong cuộc tấn công và khám phá cách OPSWAT Công nghệ Deep Content Disarm and Reconstruction ( Deep CDR ) có thể giúp ngăn chặn các cuộc tấn công tương tự.
Vector tấn công
Luồng tấn công được sử dụng là rất phổ biến.:
- Email lừa đảo có tệp đính kèm HTML được gửi đến nạn nhân.
- Khi nạn nhân mở tệp HTML, nó sẽ tự động tải xuống tệp Excel macro độc hại.
- Tệp Excel này giảm tải trọng độc hại khi nạn nhân mở nó
Các tệp HTML và Excel đã được kiểm tra trên metadefender.opswat.com vào đầu tháng 2/2020.
Tệp HTML được xác định là trang Cloudflare giả mạo với JavaScript tương đối đơn giản để chuyển hướng người dùng đến trang tải xuống sau 5 giây.
Tệp Excel chứa một số Macro bị xáo trộn.
Khi nạn nhân mở tệp và bật Macro, giao diện người dùng Windows Process giả mạo, thực sự là biểu mẫu Visual Basic, xuất hiện khiến nạn nhân nghĩ rằng Excel đang cấu hình thứ gì đó.
Trong nền, Macro chạy và thả một vài tệp trên hệ thống của nạn nhân với các đường dẫn tệp sau: C: \ Users \ user \ AppData \ Local \ Temp \ copy13.xlsx, C: \ Users \ user \ AppData \ Roaming \ Microsoft \ Windows \ Templates \ sample_.dll (RAT)
Làm sao có thể Deep CDR bảo vệ bạn khỏi các cuộc tấn công lừa đảo?
Nếu tệp HTML được Làm sạch bằng Deep CDR , tất cả các vectơ rủi ro sẽ bị xóa, bao gồm cả Javascript. Sau quá trình này, người dùng mở tệp đã Làm sạch mà không có chuyển hướng đã đề cập. Do đó, tệp Excel độc hại cũng không thể tải xuống được.
Ngoài ra, các chiến dịch lừa đảo của TA505 thường gửi tệp Excel độc hại dưới dạng tệp đính kèm email trực tiếp tới nạn nhân. Một lần nữa, Deep CDR có hiệu quả trong trường hợp này. Nó xóa mọi Macro, OLE và cũng Làm sạch đệ quy tất cả hình ảnh trong tệp.
Kết thúc
Có thể thấy TA505 rất tích cực với các chiến dịch lừa đảo qua email hiện nay. Nhiều loại phần mềm độc hại tinh vi đã được sử dụng để tăng khả năng xâm nhập vào hệ thống của bạn. Các doanh nghiệp được khuyên nên cải thiện chương trình đào tạo nhận thức về lừa đảo qua email cho nhân viên cũng như hệ thống bảo mật của họ. MetaDefender Core tận dụng 6 công nghệ an ninh mạng hàng đầu trong ngành, kết hợp với MetaDefender Email Security , mang đến khả năng bảo vệ toàn diện nhất cho tổ chức của bạn. MetaDefender 'S Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý công nghệ sử dụng sức mạnh của hơn 35 công cụ AV thương mại để phát hiện gần 100% phần mềm độc hại đã biết, trong khi Deep CDR chống lại các cuộc tấn công zero-day của các mối đe dọa chưa biết. Bên cạnh đó, với tư cách là lớp bảo vệ PII thiết yếu, Công nghệ ngăn ngừa thất thoát dữ liệu chủ động ngăn chặn dữ liệu nhạy cảm trong các tệp và email xâm nhập hoặc rời khỏi tổ chức của bạn.
Lên lịch cuộc họp với OPSWAT Chuyên gia kỹ thuật để tìm hiểu cách bảo vệ tổ chức của bạn khỏi các mối đe dọa mạng nâng cao.
Tham khảo:
