TA505は2014年から活動を開始したサイバー犯罪グループで、教育機関や金融機関を標的としている。2020年2月、オランダの公立大学であるマーストリヒト大学は、フィッシングメールを使ったTA505の大規模なランサムウェア攻撃の被害に遭ったと報告した。TA505は通常、フィッシングメールを使って悪意のあるExcelファイルを配信し、それが開かれるとペイロードをドロップします。TrendMicroが2019年7月に実施した調査によると、TA505のフィッシングメールは、悪意のあるExcelファイルを配信するためにHTMLリダイレクトを特徴とする添付ファイルを使用しています。最近、同じ攻撃戦略を用いた新たなフィッシングメールキャンペーンがMicrosoft Security Intelligenceチームによって発見されました。このブログ記事では、この攻撃で使用されたファイルを取り上げ、OPSWATのDeep Content Disarm and Reconstruction テクノロジー (Deep CDR) が同様の攻撃を防ぐのにどのように役立つかを探ります。
攻撃ベクトル
攻撃の流れはごく一般的なものだ:
- HTMLを添付したフィッシングメールが被害者に送信される。
- 被害者がHTMLファイルを開くと、悪意のあるマクロExcelファイルが自動的にダウンロードされる。
- このExcelファイルは、被害者が開くと悪意のあるペイロードをドロップします。
HTMLファイルとエクセルファイルは、2020年2月上旬にmetadefender.opswat.comで調査された。
このHTMLファイルは、5秒後にユーザーをダウンロードページにリダイレクトさせる比較的単純なJavaScriptを使用した偽のCloudflareページであることが確認された。
Excelファイルには難読化されたマクロがいくつか含まれている。
被害者がファイルを開いてマクロを有効にすると、実際にはVisual Basicのフォームである偽のWindowsプロセスUIが表示され、被害者はExcelが何かを設定していると勘違いする。
バックグラウンドでマクロは実行され、被害者のシステムに以下のファイルパスでいくつかのファイルをドロップする:C:∕Usersuser∕AppData∕LocalTemp∕copy13.xlsx, C:∕Usersuser∕AppData∕Roaming∕Microsoft∕Windows∕Templates∕.dll (RAT)
Deep CDR 、フィッシング攻撃からどのように身を守ることができるのか?
HTMLファイルがDeep CDR によってサニタイズされると、Javascriptを含むすべてのリスク・ベクターが削除されます。処理後、ユーザは前述のリダイレクトなしでサニタイズされたファイルを開く。その結果、悪意のあるExcelファイルもダウンロードできなくなる。
さらに、TA505のフィッシング・キャンペーンでは、悪意のあるExcelファイルを電子メールの添付ファイルとして被害者に直接送信していた。この場合も、Deep CDR が効果的である。これは、すべてのマクロ、OLEを削除し、ファイル内のすべての画像を再帰的にサニタイズします。
結論
TA505は現在、電子メールによるフィッシングキャンペーンが非常に活発であることが目撃されています。システムに侵入する可能性を高めるために、様々な巧妙なマルウェアが使用されています。企業は、従業員のフィッシングに対する意識向上トレーニングを実施するとともに、セキュリティ・システムを改善することをお勧めします。 MetaDefender Core業界をリードする6つのサイバーセキュリティ・テクノロジーを活用し MetaDefender Email Securityと組み合わせることで、最も包括的な保護を組織にもたらします。MetaDefenderのMultiscanning テクノロジーは、35以上の商用AVエンジンのパワーを活用し、既知のマルウェアをほぼ100%検出すると同時に、未知の脅威によるゼロデイ攻撃に対してもDeep CDR 。さらに、PII保護レイヤーとしても不可欠です、 Proactive DLPは、ファイルや電子メールに含まれる機密データの出入りを防止します。
OPSWAT テクニカルエキスパートとのミーティングを予約して、高度なサイバー脅威から組織を保護する方法を学びましょう。
参考までに:
