TA505 هي مجموعة إجرامية إلكترونية تنشط منذ عام 2014، وتستهدف المؤسسات التعليمية والمالية. في فبراير 2020، أعلنت جامعة ماستريخت، وهي جامعة عامة في هولندا، أنها وقعت ضحية لهجوم ضخم ببرمجيات الفدية شنته مجموعة TA505 باستخدام رسائل البريد الإلكتروني التصيدية. عادةً ما تستخدم TA505 رسائل البريد الإلكتروني التصيدية لتسليم ملفات Excel ضارة تنشر حمولاتها بمجرد فتحها. تستخدم رسائل البريد الإلكتروني التصيدية لـ TA505 مرفقات تحتوي على أداة إعادة توجيه HTML لتسليم ملفات Excel الضارة، وفقًا لبحث أجرته TrendMicro في يوليو 2019. مؤخرًا، اكتشف فريق Microsoft Security Intelligence حملة جديدة من رسائل البريد الإلكتروني التصيدية تستخدم نفس استراتيجية الهجوم. في هذه المدونة، سنلقي نظرة على الملفات المستخدمة في الهجوم ونستكشف كيف يمكن Deep Content Disarm and Reconstruction (Deep CDR™ Technology) OPSWATالمساعدة في منع هجمات مماثلة.
ناقلات الهجوم
تدفق الهجوم المستخدم شائع جدا.:
- يتم إرسال بريد إلكتروني للتصيد الاحتيالي يحتوي على مرفق HTML إلى الضحية.
- عندما يفتح الضحية ملف HTML ، سيقوم تلقائيا بتنزيل ملف Excel ماكرو ضار.
- يسقط ملف Excel هذا حمولة ضارة عندما يفتحه الضحية
تم فحص ملفات HTML و Excel على metadefender.opswat.com في أوائل فبراير 2020.
تم تحديد ملف HTML على أنه صفحة سحابةflare مزيفة مع جافا سكريبت بسيطة نسبيا لإعادة توجيه المستخدمين إلى صفحة تنزيل بعد 5 ثوان.
يحتوي ملف Excel على العديد من وحدات الماكرو المبهمة.
عندما يفتح الضحية الملف ويقوم بتمكين الماكرو ، تظهر واجهة مستخدم عملية Windows مزيفة ، وهي في الواقع نموذج Visual Basic ، مما يجعل الضحية تعتقد أن Excel يقوم بتكوين شيء ما.
في الخلفية ، يقوم الماكرو بتشغيل وإسقاط ملفين على نظام الضحية مع مسارات الملفات التالية: جيم : \\ المستخدمين \\ المستخدم \\ AppData \\ المحلية \\ درجة الحرارة \\ copy13 .xlsx ، جيم : \\ المستخدمين \\ المستخدم \\ AppData \\ التجوال \\ مايكروسوفت \\ ويندوز \\ قوالب \\sample_.dll (RAT)
كيف يمكن لتقنية Deep CDR™ أن تحميك من هجمات التصيد الاحتيالي؟
إذا تمت معالجة ملف HTML باستخدام تقنية Deep CDR™، فسيتم إزالة جميع مصادر الخطر، بما في ذلك جافا سكريبت. وبعد انتهاء العملية، يفتح المستخدم الملف المعالج دون حدوث عملية إعادة التوجيه المذكورة. ونتيجة لذلك، يتعذر أيضًا تنزيل ملف Excel الضار.
بالإضافة إلى ذلك، كانت حملات التصيد الاحتيالي التي تشنها مجموعة TA505 تُستخدم لإرسال ملف Excel الخبيث كمرفق بالبريد الإلكتروني إلى ضحاياها مباشرةً. ومرة أخرى، تثبت تقنية Deep CDR™ فعاليتها في هذه الحالة، حيث تقوم بإزالة جميع وحدات الماكرو وملفات OLE، كما تعمل على تطهير جميع الصور الموجودة في الملف بشكل متكرر.
استنتاج
تشير الملاحظات إلى أن مجموعة TA505 تنشط بشكل كبير في حملات التصيد الاحتيالي عبر البريد الإلكتروني في الوقت الحالي. وقد تم استخدام أنواع متنوعة من البرامج الضارة المتطورة لزيادة فرص اختراق أنظمتكم. ويُنصح المؤسسات بتعزيز تدريب موظفيها على التوعية بخطر التصيد الاحتيالي، فضلاً عن تحسين أنظمة الأمان لديها. MetaDefender Core الاستفادة من 6 تقنيات رائدة في مجال الأمن السيبراني، بالاشتراك مع MetaDefender Email Security، يوفر الحماية الأكثر شمولاً لمؤسستك. تستخدم Multiscanning MetaDefenderقوة أكثر من 35 محركاً تجارياً لمكافحة الفيروسات لاكتشاف ما يقرب من 100% من البرامج الضارة المعروفة، بينما تعمل تقنية Deep CDR™ على التصدي هجمات فورية التهديدات المجهولة. إلى جانب ذلك، وباعتباره طبقة أساسية لحماية المعلومات الشخصية (PII)، Proactive DLP البيانات الحساسة في الملفات ورسائل البريد الإلكتروني من الدخول إلى مؤسستك أو الخروج منها.
جدولة اجتماع مع OPSWAT خبير تقني لمعرفة كيفية حماية مؤسستك من التهديدات الإلكترونية المتقدمة.
مرجع:
