聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
MirrorBlast 公司指出,和俄罗斯存在关联的威胁组织 TA505 使用一个轻量级 Office 文档向位于多个地点的金融机构传播恶意软件,攻击目标包括位于加拿大、美国、中国香港、欧洲等地的多个行业,而 VirusTotal 扫描引擎对它的检测率较低。
这起攻击活动被称为“MirrorBlast”,始于2021年9月,曾在4月份发动类似攻击。感染链首先从使用钓鱼邮件传播的恶意文档开始,随后转向 Google feedproxy URL、使用伪装成文件分享请求的SharePoint和OneDrive 诱饵。
这些URL将受害者引向受陷的 SharePoint 或虚假的 OneDrive 套件,使攻击者逃避检测。此外,SharePoint 登录要求确保攻击者可逃避沙箱。
ActiveX 兼容性问题导致攻击中使用的宏代码仅在32位的 Office 版本上执行。该代码负责反沙箱检查,检查计算机名称是否和用户域名一样以及用户名是 admin 还是 administrator。
从和 MirrorBlast 攻击活动相关联的 TTPs 来看,Morphisec 公司认为臭名昭著的俄罗斯威胁组织 TA505(也被称为 Evil Corp)是幕后黑手。具体而言,该感染链应用导向 Rebol/KiXtart 加载器的 Excel 文档和 SharePoint/OneDrive 诱饵以及特定的域名。此外,SharePoint 诱导受害者访问的页面以及其它部件都和 TA505之间存在关联。
TA505 至少活跃于2014年,是受经济利益驱动的黑客组织,以使用 Dridex Trojan 和 Locky 勒索软件最为人知。然而,多年来,该黑客组织已转向多个恶意软件家族,包括现成可用的恶意软件和合法工具。
Morphisec 公司指出,“TA505是目前活跃在市场上的受经济利益驱动的多个黑客组织之一,也是最具创造性的黑客组织之一,因为它们倾向于不断变更攻击从而达到目标。对于TA505或其它创新型威胁组织而言,MirrorBlast 的新型攻击链也是如此。“
推荐阅读
俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光
原文链接
https://www.securityweek.com/russia-linked-ta505-back-targeting-financial-institutions
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
461
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
