TA505 est un groupe de cybercriminels actif depuis 2014, ciblant les institutions éducatives et financières. En février 2020, l'université de Maastricht, une université publique des Pays-Bas, a déclaré avoir été victime d'une attaque massive de ransomware menée par TA505 à l'aide de courriels d'hameçonnage. TA505 utilise généralement des courriels d'hameçonnage pour diffuser des fichiers Excel malveillants qui contiennent des charges utiles lorsqu'ils sont ouverts. Les emails de phishing de TA505 utilisent des pièces jointes comportant un redirecteur HTML pour délivrer les fichiers Excel malveillants, selon une recherche menée par TrendMicro en juillet 2019. Récemment, une nouvelle campagne d'emails de phishing utilisant la même stratégie d'attaque a été découverte par l'équipe Microsoft Security Intelligence. Dans ce billet de blog, nous examinerons les fichiers utilisés dans l'attaque et explorerons comment la technologie OPSWAT 's Deep Content Disarm and Reconstruction (Deep CDR ) peut aider à prévenir des attaques similaires.
Vecteurs d'attaque
Le flux d'attaque utilisé est très commun :
- Un courriel d'hameçonnage contenant une pièce jointe HTML est envoyé à la victime.
- Lorsque la victime ouvre le fichier HTML, elle télécharge automatiquement un fichier Excel macro malveillant.
- Ce fichier Excel contient une charge utile malveillante lorsque la victime l'ouvre.
Les fichiers HTML et Excel ont été examinés sur metadefender.opswat.com au début du mois de février 2020.
Le fichier HTML a été identifié comme une fausse page Cloudflare avec un JavaScript relativement simple pour rediriger les utilisateurs vers une page de téléchargement après 5 secondes.
Le fichier Excel contient plusieurs macros obscurcies.
Lorsque la victime ouvre le fichier et active la macro, une fausse interface utilisateur Windows Process, qui est en fait un formulaire Visual Basic, apparaît, faisant croire à la victime qu'Excel est en train de configurer quelque chose.
En arrière-plan, la macro s'exécute et dépose quelques fichiers sur le système de la victime avec les chemins d'accès suivants : C:\NUsers\Nuser\NAppData\NLocal\NTemp\Ncopy13.xlsx, C:\NUsers\Nuser\NAppData\NRoaming\NMicrosoft\NWindows\NTemplates\Nsample_.dll (RAT)
Comment Deep CDR peut-il vous protéger contre les attaques de phishing ?
Si le fichier HTML est assaini par Deep CDR, tous les vecteurs de risque seront supprimés, y compris Javascript. Après le processus, l'utilisateur ouvre le fichier assaini sans la redirection mentionnée. Par conséquent, le fichier Excel malveillant ne peut pas non plus être téléchargé.
En outre, les campagnes d'hameçonnage de TA505 envoyaient directement à leurs victimes le fichier Excel malveillant en pièce jointe d'un courrier électronique. Là encore, Deep CDR est efficace dans ce cas. Il supprime toutes les macros, les OLE et assainit récursivement toutes les images du fichier.
Conclusion
On constate que TA505 est très actif dans les campagnes d'hameçonnage par courriel de nos jours. Différents types de logiciels malveillants sophistiqués ont été utilisés pour augmenter les chances de pénétrer dans votre système. Il est conseillé aux entreprises d'améliorer la formation de leurs employés en matière d'hameçonnage ainsi que leur système de sécurité. MetaDefender Core En s'appuyant sur 6 technologies de cybersécurité à la pointe de l'industrie, en combinaison avec MetaDefender Email SecurityLa technologie de l'entreprise offre la protection la plus complète qui soit à votre organisation. MetaDefenderLa technologie de Multiscanning utilise la puissance de plus de 35 moteurs AV commerciaux pour détecter près de 100 % des logiciels malveillants connus, tout en Deep CDR contre les attaques de type " zero-day " de menaces inconnues. En outre, en tant que couche essentielle de protection des informations confidentielles, il empêche les données sensibles contenues dans les fichiers et les courriers électroniques d'être récupérées, Proactive DLP empêche les données sensibles contenues dans les fichiers et les courriels d'entrer dans votre organisation ou d'en sortir.
Prenez rendez-vous avec un expert technique de OPSWAT pour savoir comment protéger votre organisation contre les cybermenaces avancées.
Référence :
