概述
该活动针对多个国家,包括加拿大、美国、香港和欧洲。
攻击详情
初始攻击链以恶意电子邮件附件开始,该附件通过SharePoint和OneDrive诱饵更改为Google feedproxy URL,该诱饵以文件共享请求的形式出现。
这些URL指向被攻击者用来逃避检测的SharePoint或虚假的OneDrive站点,以及有助于规避沙箱的登录请求(SharePoint)。带有SharePoint诱饵主题的网络钓鱼电子邮件如下图所示:
这些被感染的SharePoint和伪造的OneDrive网站共享一个武器化Excel文档,其中包含一个极其轻量级的宏代码,由于与ActiveX对象的兼容性问题(ActiveX控件兼容性),该宏代码只能在32位版本的Office上执行。宏代码通过检查以下查询是否为true来执行反沙箱:
-
计算机名为用户域。
-
用户名为admin或administrator。
研究人员观察到该诱饵文档具有不同变体。在第一个变体中,没有任何反沙箱,宏代码隐藏在语言和代码文档信息属性后。之后的变体中宏代码移到了工作表单元格中,此外代码在之前的混淆之上又添加了一个混淆层。
宏代码执行后,该命令会执行JScript,从而生成负责下载和安装MSI包的 msiexec.exe进程。研究人员观察到MSI安装程序的两个变体——KiXtart和REBOL——它们是使用Windows Installer XML 工具集 (WiX)生成的。
研究人员表明,Rebol变体是一种跨平台数据交换语言和多范式动态编程语言,其第一阶段Rebol脚本是base64编码的。然后,它通过发送代表用户域、用户名、操作系统版本、体系结构,以及Rebol脚本内部版本号的base64编码GET请求来窃取目标信息。
C2服务器会发送与受害机器关联的通用唯一标识符,并等待进一步的命令。收到响应后,它会执行Powershell命令,该命令将下载存档文件并将其内容提取到名为archive的文件夹中,在该文件夹中执行Rebol脚本的下一阶段。
KiXtart是一种自由格式的脚本语言,具有丰富的内置功能,可轻松编写脚本,它将受害者的机器信息(域、计算机名称、用户名、进程列表)发送到C2,C2通过进一步的进程做出响应,类似于Rebol变体。
归因
研究人员将攻击活动归因于TA505组织,原因如下:
-
感染链由电子邮件→XLS→MSI(Rebol/KiXtart加载器)组成。MSI组件与TA505的Get2(GetandGo)加载器非常相似。
-
使用SharePoint/OneDrive诱饵主题
-
使用cdn*dl*fileshare、*onedrive* 或 *dropbox* 作为域名的一部分。
-
其中一封SharePoint诱饵主题电子邮件指向以下页面:
-
详细信息窗格中的MD5与Excel文档的MD5不匹配。在与TA505相关的攻击中发现了这个特定的哈希值。
-
下一阶段的 Rebol 脚本会部署与TA505相关联的 FlawedGrace RAT
总结
TA505是目前活跃的以经济为动机的威胁组织之一,MirrorBlast攻击活动在VirusTotal具有低检测率,这表明大多数团队目前都已将重点放在规避检测的解决方案上。金融组织历来是威胁行为者最针对的目标之一,这是由于金融部门持有大量客户数据,以及支付大笔资金,因此金融组织必须始终保持警惕,以应对威胁组织的攻击。
END
原文始发于微信公众号(SecTr安全团队):MirrorBlast:TA505组织针对金融行业的恶意活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论