TA505, 2014 yılından beri faaliyet gösteren ve eğitim kurumları ile finans kuruluşlarını hedef alan bir siber suç grubudur. Şubat 2020’de, Hollanda’daki bir devlet üniversitesi olan Maastricht Üniversitesi, TA505’in kimlik avı e-postaları yoluyla gerçekleştirdiği büyük çaplı fidye yazılımı saldırısının kurbanı olduğunu bildirdi. TA505 genellikle, açıldıklarında yükleri bırakan kötü amaçlı Excel dosyalarını iletmek için kimlik avı e-postaları kullanır. TrendMicro'nun Temmuz 2019'da yaptığı araştırmaya göre, TA505'in kimlik avı e-postaları, kötü amaçlı Excel dosyalarını iletmek için bir HTML yönlendiricisi içeren ekler kullanır. Kısa bir süre önce, Microsoft Güvenlik İstihbarat ekibi tarafından aynı saldırı stratejisini kullanan yeni bir kimlik avı e-posta kampanyası keşfedildi. Bu blog yazısında, saldırıda kullanılan dosyalara göz atacak ve OPSWAT Deep Content Disarm and Reconstruction (Deep CDR™ Teknolojisi) benzer saldırıları önlemeye nasıl yardımcı olabileceğini inceleyeceğiz.
Saldırı vektörleri
Kullanılan saldırı akışı çok yaygındır..:
- HTML eki içeren bir kimlik avı e-postası kurbana gönderilir.
- Kurban HTML dosyasını açtığında, otomatik olarak kötü amaçlı bir makro Excel dosyası indirecektir.
- Bu Excel dosyası, kurban dosyayı açtığında kötü amaçlı bir yük bırakır
HTML ve Excel dosyaları Şubat 2020 başında metadefender.opswat.com adresinde incelenmiştir.
HTML dosyası, kullanıcıları 5 saniye sonra bir indirme sayfasına yönlendirmek için nispeten basit JavaScript içeren sahte bir Cloudflare sayfası olarak tanımlandı.
Excel dosyası birkaç gizlenmiş Makro içerir.
Kurban dosyayı açıp Makro'yu etkinleştirdiğinde, aslında bir Visual Basic formu olan sahte bir Windows İşlem Kullanıcı Arayüzü görünür ve kurbanın Excel'in bir şeyler yapılandırdığını düşünmesine neden olur.
Arka planda, Makro çalışır ve kurbanın sistemine aşağıdaki dosya yollarıyla birkaç dosya bırakır: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Deep CDR™ Teknolojisi sizi kimlik avı saldırılarından nasıl koruyabilir?
HTML dosyası Deep CDR™ Teknolojisi ile temizlenirse, Javascript dahil olmak üzere tüm risk vektörleri ortadan kaldırılır. İşlem tamamlandıktan sonra kullanıcı, söz konusu yönlendirme olmaksızın temizlenmiş dosyayı açar. Sonuç olarak, kötü amaçlı Excel dosyası da indirilemez.
Ayrıca, TA505’in kimlik avı kampanyalarında, kötü amaçlı Excel dosyası kurbanlara doğrudan e-posta eki olarak gönderiliyordu. Bu durumda da Deep CDR™ Teknolojisi etkili oluyor. Bu teknoloji, dosyadaki tüm makroları ve OLE öğelerini kaldırıyor ve ayrıca dosyadaki tüm görselleri özyinelemeli olarak temizliyor.
Sonuç
TA505'in son zamanlarda e-posta kimlik avı kampanyalarıyla oldukça aktif olduğu görülmektedir. Sisteminize sızma olasılığını artırmak için çeşitli sofistike kötü amaçlı yazılım türleri kullanılmaktadır. İşletmelere, güvenlik sistemlerinin yanı sıra çalışanlarına yönelik kimlik avı farkındalık eğitimlerini de güçlendirmeleri tavsiye edilmektedir. MetaDefender Core , sektörün önde gelen 6 siber güvenlik teknolojisini MetaDefender Email Securityile birleştirilerek kuruluşunuza en kapsamlı korumayı sunar. MetaDefender Multiscanning , 35’ten fazla ticari antivirüs motorunun gücünü kullanarak bilinen kötü amaçlı yazılımların neredeyse %100’ünü tespit ederken, Deep CDR™ Teknolojisi bilinmeyen tehditlerin sıfırıncı gün saldırılarına karşı koruma sağlar. Ayrıca, önemli bir PII koruma katmanı olarak Proactive DLP , dosya ve e-postalardaki hassas verilerin kuruluşunuza girmesini veya kuruluşunuzdan çıkmasını engeller.
Kuruluşunuzu gelişmiş siber tehditlerden nasıl koruyacağınızı öğrenmek için OPSWAT teknik uzmanıyla bir toplantı planlayın.
Referans:
- Maastricht Üniversitesi TA505 Grubuna Fidye Olarak 30 Bitcoin Ödedi
- Değişen Taktikler: TA505 Grubunun Son Kampanyalarında HTML, RAT ve Diğer Teknikleri Kullanımının İncelenmesi
- Deep CDR™Teknolojisi ,
- MetaDefender Core ,
- MetaDefender Email Security
