TA505, 2014 yılından beri aktif olan ve Eğitim ve Finans kurumlarını hedef alan bir siber suç grubudur. Şubat 2020'de, Hollanda'da bir devlet üniversitesi olan Maastricht Üniversitesi, TA505 'in kimlik avı e-postalarını kullanarak gerçekleştirdiği büyük fidye yazılımı saldırısının kurbanı olduğunu bildirdi. TA505 genellikle kimlik avı e-postalarını, açıldıklarında yükleri bırakan kötü amaçlı Excel dosyalarını iletmek için kullanır. TrendMicro tarafından Temmuz 2019'da yapılan araştırmaya göre, TA505'in kimlik avı e-postaları, kötü amaçlı Excel dosyalarını teslim etmek için bir HTML yönlendirici içeren ekler kullanıyor. Yakın zamanda, Microsoft Güvenlik İstihbaratı ekibi tarafından aynı saldırı stratejisini kullanan yeni bir kimlik avı e-posta kampanyası keşfedildi. Bu blog yazısında, saldırıda kullanılan dosyalara bir göz atacağız ve OPSWAT'un Deep Content Disarm and Reconstruction teknolojisinin (Deep CDR ) benzer saldırıları önlemeye nasıl yardımcı olabileceğini keşfedeceğiz.
Saldırı vektörleri
Kullanılan saldırı akışı çok yaygındır..:
- HTML eki içeren bir kimlik avı e-postası kurbana gönderilir.
- Kurban HTML dosyasını açtığında, otomatik olarak kötü amaçlı bir makro Excel dosyası indirecektir.
- Bu Excel dosyası, kurban dosyayı açtığında kötü amaçlı bir yük bırakır
HTML ve Excel dosyaları Şubat 2020 başında metadefender.opswat.com adresinde incelenmiştir.
HTML dosyası, kullanıcıları 5 saniye sonra bir indirme sayfasına yönlendirmek için nispeten basit JavaScript içeren sahte bir Cloudflare sayfası olarak tanımlandı.
Excel dosyası birkaç gizlenmiş Makro içerir.
Kurban dosyayı açıp Makro'yu etkinleştirdiğinde, aslında bir Visual Basic formu olan sahte bir Windows İşlem Kullanıcı Arayüzü görünür ve kurbanın Excel'in bir şeyler yapılandırdığını düşünmesine neden olur.
Arka planda, Makro çalışır ve kurbanın sistemine aşağıdaki dosya yollarıyla birkaç dosya bırakır: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Deep CDR sizi oltalama saldırısından nasıl koruyabilir?
HTML dosyası Deep CDR tarafından sterilize edilirse, Javascript de dahil olmak üzere tüm risk vektörleri kaldırılacaktır. İşlemden sonra kullanıcı, söz konusu yönlendirme olmadan sterilize edilmiş dosyayı açar. Sonuç olarak, kötü niyetli Excel dosyası da indirilemez.
Buna ek olarak, TA505'in kimlik avı kampanyaları, zararlı Excel dosyasını kurbanlarına doğrudan e-posta eki olarak gönderiyordu. Yine, Deep CDR bu durumda etkilidir. Tüm Makroları, OLE'yi kaldırır ve ayrıca dosyadaki tüm görüntüleri özyinelemeli olarak sterilize eder.
Sonuç
TA505'in günümüzde e-posta kimlik avı kampanyaları ile çok aktif olduğu görülmektedir. Sisteminize girme şansını artırmak için çeşitli sofistike kötü amaçlı yazılım türleri kullanılmıştır. İşletmelere, güvenlik sistemlerinin yanı sıra çalışanlarının kimlik avı farkındalık eğitimlerini de geliştirmeleri tavsiye edilmektedir. MetaDefender Core 6 endüstri lideri siber güvenlik teknolojisinden yararlanarak, aşağıdakilerle birlikte MetaDefender Email Securitykuruluşunuza en kapsamlı korumayı getirir. MetaDefender Multiscanning teknolojisi, 35'ten fazla ticari AV motorunun gücünü kullanarak bilinen kötü amaçlı yazılımları neredeyse %100 oranında tespit ederken, bilinmeyen tehditlerin sıfırıncı gün saldırılarına karşı Deep CDR adresini kullanıyor. Ayrıca, temel bir PII koruma katmanı olarak, Proactive DLP dosya ve e-postalardaki hassas verilerin kurumunuza girmesini veya kurumunuzdan çıkmasını önler.
Kuruluşunuzu gelişmiş siber tehditlerden nasıl koruyacağınızı öğrenmek için OPSWAT teknik uzmanıyla bir toplantı planlayın.
Referans:
- Maastricht Üniversitesi TA505 Grubuna Fidye Olarak 30 Bitcoin Ödedi
- Değişen Taktikler: TA505 Grubunun Son Kampanyalarında HTML, RAT ve Diğer Teknikleri Kullanımının İncelenmesi
