Новая фишинговая кампания, получившая название MirrorBlast, развертывает документы Excel с оружием, которые чрезвычайно сложно обнаружить для взлома финансовых организаций.
Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения.
Однако у этих оптимизированных документов есть недостатки, которые, по всей видимости, участники готовы принять в качестве компромисса. В частности, код макроса может выполняться только в 32-разрядной версии Office.
Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI ».
Однако до этого макрос выполняет базовую проверку анти-песочницы на предмет того, совпадает ли имя компьютера с доменом пользователя и совпадает ли имя пользователя с «admin» или «administrator».
По словам исследователей из Morphisec, которые проанализировали несколько образцов сброшенного пакета MSI, он представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart.
Вариант REBOL, который закодирован в base64, начинается с извлечения такой информации, как имя пользователя, версия ОС и архитектура.
Затем он ожидает команды C2, которая запускает Powershell, который выполнит второй этап. Однако исследователям не удалось получить этот этап, поэтому его функции неизвестны.
Полезная нагрузка KiXtart также зашифрована и также пытается передать основную информацию о машине на C2, включая домен, имя компьютера, имя пользователя и список процессов.
Morphisec смог связать участников с кампанией MirrorBlast благодаря сходству цепочки заражения с прошлыми операциями, злоупотреблению OneDrive, особенностям методов именования доменов и существованию несоответствия контрольной суммы MD5, которое указывает на атаку 2020 года, запущенную TA505.
TA505 - это очень изощренный злоумышленник, который на протяжении многих лет известен широким спектром вредоносной активности.
Анализ NCCGroup графика работы актера отражает организованную и хорошо структурированную группу, которая использует уязвимости нулевого дня и различные штаммы вредоносных программ в своих атаках. Это включает использование вымогателя Clop для атак с двойным вымогательством.
TA505 также связан с многочисленными атаками с использованием уязвимости нулевого дня в устройствах безопасного обмена файлами Accellion FTA для кражи данных у организаций.
Затем злоумышленники попытались вымогать у компаний выкуп в размере 10 миллионов долларов, чтобы не допустить публичной утечки данных на их сайте утечки данных Clop.
Таким образом, ИТ-команды финансовых организаций, на которые распространяется кампания MirrorBlast, не могут позволить себе ослабить защиту даже на мгновение.
Уведомление об обновлении: мы изменили «Accenture FTA» на «Accellion FTA» и приносим извинения за любую путаницу, которую могла вызвать эта опечатка.
Наиболее примечательной особенностью MirrorBlast является низкий уровень обнаружения вредоносных документов Excel кампании программным обеспечением безопасности, что подвергает высокому риску фирмы, полагающиеся исключительно на средства обнаружения.
Макрос Featherlight с нулевым обнаружением
Разработчики этих вредоносных документов приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.Однако у этих оптимизированных документов есть недостатки, которые, по всей видимости, участники готовы принять в качестве компромисса. В частности, код макроса может выполняться только в 32-разрядной версии Office.
Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI ».
Однако до этого макрос выполняет базовую проверку анти-песочницы на предмет того, совпадает ли имя компьютера с доменом пользователя и совпадает ли имя пользователя с «admin» или «administrator».
По словам исследователей из Morphisec, которые проанализировали несколько образцов сброшенного пакета MSI, он представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart.
Вариант REBOL, который закодирован в base64, начинается с извлечения такой информации, как имя пользователя, версия ОС и архитектура.
Затем он ожидает команды C2, которая запускает Powershell, который выполнит второй этап. Однако исследователям не удалось получить этот этап, поэтому его функции неизвестны.
Полезная нагрузка KiXtart также зашифрована и также пытается передать основную информацию о машине на C2, включая домен, имя компьютера, имя пользователя и список процессов.
Высокомотивированный злоумышленник
Акторами кампании, по всей видимости, являются «TA505», активная российская группа угроз, которая имеет долгую историю творчества в том, как они используют документы Excel в кампаниях по борьбе со спамом.Morphisec смог связать участников с кампанией MirrorBlast благодаря сходству цепочки заражения с прошлыми операциями, злоупотреблению OneDrive, особенностям методов именования доменов и существованию несоответствия контрольной суммы MD5, которое указывает на атаку 2020 года, запущенную TA505.
TA505 - это очень изощренный злоумышленник, который на протяжении многих лет известен широким спектром вредоносной активности.
Анализ NCCGroup графика работы актера отражает организованную и хорошо структурированную группу, которая использует уязвимости нулевого дня и различные штаммы вредоносных программ в своих атаках. Это включает использование вымогателя Clop для атак с двойным вымогательством.
TA505 также связан с многочисленными атаками с использованием уязвимости нулевого дня в устройствах безопасного обмена файлами Accellion FTA для кражи данных у организаций.
Затем злоумышленники попытались вымогать у компаний выкуп в размере 10 миллионов долларов, чтобы не допустить публичной утечки данных на их сайте утечки данных Clop.
Таким образом, ИТ-команды финансовых организаций, на которые распространяется кампания MirrorBlast, не могут позволить себе ослабить защиту даже на мгновение.
Уведомление об обновлении: мы изменили «Accenture FTA» на «Accellion FTA» и приносим извинения за любую путаницу, которую могла вызвать эта опечатка.
