TA505 هي مجموعة جرائم إلكترونية تنشط منذ عام 2014، وتستهدف المؤسسات التعليمية والمالية. في فبراير 2020، أبلغت جامعة ماستريخت، وهي جامعة عامة في هولندا، أنها كانت ضحية لهجوم TA505 الضخم الذي شنته مجموعة TA505 باستخدام رسائل البريد الإلكتروني التصيدية. وعادةً ما تستخدم TA505 رسائل البريد الإلكتروني التصيدية لإيصال ملفات إكسل الضارة التي تُسقط حمولات بمجرد فتحها. وتستخدم رسائل البريد الإلكتروني التصيدية في TA505 مرفقات تحتوي على أداة إعادة توجيه بتنسيق HTML لإيصال ملفات Excel الضارة، وفقًا لبحث أجرته شركة TrendMicro في يوليو 2019. وفي الآونة الأخيرة، اكتشف فريق مايكروسوفت للمعلومات الأمنية حملة جديدة للتصيد الاحتيالي عبر البريد الإلكتروني باستخدام نفس استراتيجية الهجوم. في منشور المدونة هذا، سنلقي نظرة على الملفات المستخدمة في الهجوم ونستكشف كيف يمكن لتقنيةDeep Content Disarm and Reconstruction الخاصة بـ OPSWAT(Deep CDR ) المساعدة في منع هجمات مماثلة.
ناقلات الهجوم
تدفق الهجوم المستخدم شائع جدا.:
- يتم إرسال بريد إلكتروني للتصيد الاحتيالي يحتوي على مرفق HTML إلى الضحية.
- عندما يفتح الضحية ملف HTML ، سيقوم تلقائيا بتنزيل ملف Excel ماكرو ضار.
- يسقط ملف Excel هذا حمولة ضارة عندما يفتحه الضحية
تم فحص ملفات HTML و Excel على metadefender.opswat.com في أوائل فبراير 2020.
تم تحديد ملف HTML على أنه صفحة Cloudflare مزيفة مع جافا سكريبت بسيطة نسبيا لإعادة توجيه المستخدمين إلى صفحة تنزيل بعد 5 ثوان.
يحتوي ملف Excel على العديد من وحدات الماكرو المبهمة.
عندما يفتح الضحية الملف ويقوم بتمكين الماكرو ، تظهر واجهة مستخدم عملية Windows مزيفة ، وهي في الواقع نموذج Visual Basic ، مما يجعل الضحية تعتقد أن Excel يقوم بتكوين شيء ما.
في الخلفية ، يقوم الماكرو بتشغيل وإسقاط ملفين على نظام الضحية مع مسارات الملفات التالية: جيم : \\ المستخدمين \\ المستخدم \\ AppData \\ المحلية \\ درجة الحرارة \\ copy13 .xlsx ، جيم : \\ المستخدمين \\ المستخدم \\ AppData \\ التجوال \\ مايكروسوفت \\ ويندوز \\ قوالب \\sample_.dll (RAT)
كيف يمكن لموقع Deep CDR حمايتك من هجوم التصيد الاحتيالي؟
إذا تم تعقيم ملف HTML بواسطة Deep CDR ، ستتم إزالة جميع نواقل الخطر، بما في ذلك Javascript. بعد العملية، يفتح المستخدم الملف المعقّم دون إعادة التوجيه المذكورة. ونتيجة لذلك، لا يمكن تنزيل ملف Excel الضار أيضًا.
بالإضافة إلى ذلك، اعتادت حملات التصيّد الاحتيالي في TA505 إرسال ملف Excel الضار كمرفق بريد إلكتروني إلى ضحاياها مباشرةً. مرة أخرى، Deep CDR فعال في هذه الحالة. فهو يزيل كل وحدات الماكرو و OLE ويقوم أيضًا بتعقيم جميع الصور في الملف بشكل متكرر.
استنتاج
من الملاحظ أن TA505 نشط للغاية مع حملات التصيد الاحتيالي عبر البريد الإلكتروني في الوقت الحاضر. وقد استُخدمت أنواع مختلفة من البرمجيات الضارة المتطورة لزيادة فرص الدخول إلى نظامك. تُنصح الشركات بتحسين تدريب موظفيها على التوعية بالتصيد الاحتيالي بالإضافة إلى تحسين نظامها الأمني. MetaDefender Core الاستفادة من 6 تقنيات رائدة في مجال الأمن السيبراني، بالإضافة إلى MetaDefender Email Securityيوفر الحماية الأكثر شمولاً لمؤسستك. MetaDefenderتستفيد تقنية Multiscanning Multiscanning من قوة أكثر من 35 محركًا تجاريًا مضادًا للمضادات الحيوية لاكتشاف ما يقرب من 100% من البرمجيات الضارة المعروفة، بينما تعمل تقنية Deep CDR ضد هجمات فورية من التهديدات المجهولة. إلى جانب ذلك، وباعتبارها طبقة حماية أساسية لمعلومات تحديد الهوية الشخصية، تمنع تقنية Proactive DLP البيانات الحساسة في الملفات ورسائل البريد الإلكتروني من الدخول إلى مؤسستك أو الخروج منها.
جدولة اجتماع مع OPSWAT خبير تقني لمعرفة كيفية حماية مؤسستك من التهديدات الإلكترونية المتقدمة.
مرجع:
