Новая фишинговая кампания, получившая название MirrorBlast, развертывает документы Excel с оружием, которые чрезвычайно сложно обнаружить для взлома финансовых организаций.
Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения.
Макрос Featherlight с нулевым обнаружением
Разработчики этих вредоносных документов приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
Результаты VirusTotal без обнаруженийИсточник: Morphisec
Однако у этих оптимизированных документов есть недостатки, которые, по-видимому, участники готовы принять в качестве компромисса. В частности, код макроса может выполняться только в 32-разрядной версии Office.
Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI ».
Однако до этого макрос выполняет базовую проверку анти-песочницы на предмет того, совпадает ли имя компьютера с доменом пользователя и совпадает ли имя пользователя с «admin» или «administrator».
По словам исследователей из Morphisec, которые проанализировали несколько образцов сброшенного пакета MSI, он представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart.
Цепочка атак MirrorBlast
Источник: Morphisec
Вариант REBOL, который закодирован в base64, начинается с извлечения такой информации, как имя пользователя, версия ОС и архитектура.
Затем он ожидает команды C2, которая запускает Powershell, который выполнит второй этап. Однако исследователям не удалось получить этот этап, поэтому его функции неизвестны.
Полезная нагрузка KiXtart также зашифрована и также пытается передать основную информацию о машине на C2, включая домен, имя компьютера, имя пользователя и список процессов.
Высокомотивированный злоумышленник
Акторами кампании, по всей видимости, являются «TA505», активная российская группа угроз, которая имеет долгую историю творчества в том, как они используют документы Excel в кампаниях по борьбе со спамом .Morphisec смог связать участников с кампанией MirrorBlast благодаря сходству цепочки заражения с прошлыми операциями, злоупотреблению OneDrive, особенностям методов именования доменов и существованию несоответствия контрольной суммы MD5, которое указывает на атаку 2020 года, запущенную TA505.
TA505 - это очень изощренный злоумышленник, который на протяжении многих лет известен широким спектром вредоносной активности.
Пример графика работы TA505 из прошлой кампании
Источник: NCCGroup
Анализ NCCGroup графика работы актера отражает организованную и хорошо структурированную группу, которая использует уязвимости нулевого дня и различные штаммы вредоносных программ в своих атаках. Это включает использование вымогателя Clop для атак с двойным вымогательством.
TA505 также связан с многочисленными атаками с использованием уязвимости нулевого дня в устройствах безопасного обмена файлами Accenture FTA для кражи данных у организаций.
Затем злоумышленники попытались вымогать у компаний выкуп в размере 10 миллионов долларов, чтобы не допустить публичной утечки данных на их сайте утечки данных Clop.
Таким образом, ИТ-команды финансовых организаций, на которые распространяется кампания MirrorBlast, не могут позволить себе снизить уровень защиты даже на мгновение.
Перевод - Google
Bleeping Computer
Последнее редактирование: