TA505は、2014年から活動しているサイバー犯罪グループであり、教育機関や金融機関を標的としています。2020年2月、オランダの公立大学であるマーストリヒト大学は、フィッシングメールを用いたTA505による大規模なランサムウェア攻撃の被害を受けたと報告しました。 TA505は通常、フィッシングメールを利用して悪意のあるExcelファイルを配信し、ファイルが開かれるとペイロードをドロップさせます。2019年7月にトレンドマイクロが実施した調査によると、TA505のフィッシングメールは、悪意のあるExcelファイルを配信するためにHTMLリダイレクタを含む添付ファイルを使用しています。 最近、Microsoft Security Intelligenceチームにより、同様の攻撃戦略を用いた新たなフィッシングメールキャンペーンが発見されました。本ブログ記事では、この攻撃で使用されたファイルについて検証し、Deep Content Disarm and Reconstruction (Deep CDR™テクノロジー) OPSWAT、同様の攻撃を防ぐためにどのように役立つかを探ります。
攻撃ベクトル
攻撃の流れはごく一般的なものだ:
- HTMLを添付したフィッシングメールが被害者に送信される。
- 被害者がHTMLファイルを開くと、悪意のあるマクロExcelファイルが自動的にダウンロードされる。
- このExcelファイルは、被害者が開くと悪意のあるペイロードをドロップします。
HTMLファイルとエクセルファイルは、2020年2月上旬にmetadefender.opswat.comで調査された。
このHTMLファイルは、5秒後にユーザーをダウンロードページにリダイレクトさせる比較的単純なJavaScriptを使用した偽のCloudflareページであることが確認された。
Excelファイルには難読化されたマクロがいくつか含まれている。
被害者がファイルを開いてマクロを有効にすると、実際にはVisual Basicのフォームである偽のWindowsプロセスUIが表示され、被害者はExcelが何かを設定していると勘違いする。
バックグラウンドでマクロは実行され、被害者のシステムに以下のファイルパスでいくつかのファイルをドロップする:C:∕Usersuser∕AppData∕LocalTemp∕copy13.xlsx, C:∕Usersuser∕AppData∕Roaming∕Microsoft∕Windows∕Templates∕.dll (RAT)
Deep CDR™テクノロジーは、どのようにフィッシング攻撃からユーザーを守ることができるのでしょうか?
HTMLファイルがDeep CDR™テクノロジーによってサニタイズされると、JavaScriptを含むすべてのリスク要因が除去されます。この処理が完了すると、ユーザーは前述のリダイレクトが発生することなく、サニタイズされたファイルを開くことができます。その結果、悪意のあるExcelファイルもダウンロードされることはありません。
さらに、TA505のフィッシング攻撃では、悪意のあるExcelファイルをメールの添付ファイルとして被害者に直接送信していました。このケースにおいても、Deep CDR™テクノロジーは有効です。このテクノロジーは、ファイル内のすべてのマクロやOLEを削除し、さらにファイル内のすべての画像を再帰的にクリーンアップします。
結論
最近、TA505が電子メールによるフィッシング攻撃を活発に行っていることが確認されています。システムへの侵入成功率を高めるため、さまざまな高度なマルウェアが使用されています。企業は、セキュリティ体制の強化に加え、従業員に対するフィッシング対策の啓発活動も強化することが推奨されます。 MetaDefender Core 業界をリードする6つのサイバーセキュリティ技術を組み合わせ、 MetaDefender Email Securityと組み合わせることで、組織に最も包括的な保護を提供します。MetaDefender Multiscanning 、35以上の商用アンチウイルスエンジンの力を活用し、既知のマルウェアをほぼ100%検出します。一方、Deep CDR™テクノロジーは、未知の脅威によるゼロデイ攻撃に対抗します。さらに、不可欠なPII保護層として、 Proactive DLP は、ファイルやメールに含まれる機密データが組織内外に流出するのを防ぎます。
OPSWAT テクニカルエキスパートとのミーティングを予約して、高度なサイバー脅威から組織を保護する方法を学びましょう。
参考までに:
