MirrorBlast:TA505组织针对金融行业的恶意活动

admin 2021年10月18日10:00:50安全新闻评论31 views1643字阅读5分28秒阅读模式
MirrorBlast:TA505组织针对金融行业的恶意活动点击上方蓝字关注我们


MirrorBlast:TA505组织针对金融行业的恶意活动

   

概述


Morphisec Labs研究人员发现针对金融服务组织的新攻击活动 “MirrorBlast”,并将该活动归因于俄罗斯威胁组织TA505。

此次活动始于9月初,通过网络钓鱼邮件发送MirrorBlast,其中包含恶意链接,可下载带有嵌入式宏的武器化Excel文档,并且VirusTotal检测率较低,这对依赖基于检测的安全性和沙箱的组织来说是比较危险的。

该活动针对多个国家,包括加拿大、美国、香港和欧洲。


攻击详情


初始攻击链以恶意电子邮件附件开始,该附件通过SharePoint和OneDrive诱饵更改为Google feedproxy URL,该诱饵以文件共享请求的形式出现。


这些URL指向被攻击者用来逃避检测的SharePoint或虚假的OneDrive站点,以及有助于规避沙箱的登录请求(SharePoint)。带有SharePoint诱饵主题的网络钓鱼电子邮件如下图所示:


MirrorBlast:TA505组织针对金融行业的恶意活动

这些被感染的SharePoint和伪造的OneDrive网站共享一个武器化Excel文档,其中包含一个极其轻量级的宏代码,由于与ActiveX对象的兼容性问题(ActiveX控件兼容性),该宏代码只能在32位版本的Office上执行。宏代码通过检查以下查询是否为true来执行反沙箱:


  • 计算机名为用户域。

  • 用户名为admin或administrator。


研究人员观察到该诱饵文档具有不同变体。在第一个变体中,没有任何反沙箱,宏代码隐藏在语言和代码文档信息属性后。之后的变体中宏代码移到了工作表单元格中,此外代码在之前的混淆之上又添加了一个混淆层。


宏代码执行后,该命令会执行JScript,从而生成负责下载和安装MSI包的 msiexec.exe进程。研究人员观察到MSI安装程序的两个变体——KiXtart和REBOL——它们是使用Windows Installer XML 工具集 (WiX)生成的。


研究人员表明,Rebol变体是一种跨平台数据交换语言和多范式动态编程语言,其第一阶段Rebol脚本是base64编码的。然后,它通过发送代表用户域、用户名、操作系统版本、体系结构,以及Rebol脚本内部版本号的base64编码GET请求来窃取目标信息。


C2服务器会发送与受害机器关联的通用唯一标识符,并等待进一步的命令。收到响应后,它会执行Powershell命令,该命令将下载存档文件并将其内容提取到名为archive的文件夹中,在该文件夹中执行Rebol脚本的下一阶段。


KiXtart是一种自由格式的脚本语言,具有丰富的内置功能,可轻松编写脚本,它将受害者的机器信息(域、计算机名称、用户名、进程列表)发送到C2,C2通过进一步的进程做出响应,类似于Rebol变体。


归因


研究人员将攻击活动归因于TA505组织,原因如下:


  1. 感染链由电子邮件→XLS→MSI(Rebol/KiXtart加载器)组成。MSI组件与TA505的Get2(GetandGo)加载器非常相似。

  2. 使用SharePoint/OneDrive诱饵主题

  3. 使用cdn*dl*fileshare、*onedrive* 或 *dropbox* 作为域名的一部分。

  4. 其中一封SharePoint诱饵主题电子邮件指向以下页面:

    MirrorBlast:TA505组织针对金融行业的恶意活动


  5. 详细信息窗格中的MD5与Excel文档的MD5不匹配。在与TA505相关的攻击中发现了这个特定的哈希值。

  6. 下一阶段的 Rebol 脚本会部署与TA505相关联的 FlawedGrace RAT


总结


TA505是目前活跃的以经济为动机的威胁组织之一,MirrorBlast攻击活动在VirusTotal具有低检测率,这表明大多数团队目前都已将重点放在规避检测的解决方案上。金融组织历来是威胁行为者最针对的目标之一,这是由于金融部门持有大量客户数据,以及支付大笔资金,因此金融组织必须始终保持警惕,以应对威胁组织的攻击。


MirrorBlast:TA505组织针对金融行业的恶意活动

END



MirrorBlast:TA505组织针对金融行业的恶意活动


好文!必须在看

原文始发于微信公众号(SecTr安全团队):MirrorBlast:TA505组织针对金融行业的恶意活动

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月18日10:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  MirrorBlast:TA505组织针对金融行业的恶意活动 http://cn-sec.com/archives/587446.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: