前段时间,网络安全公司Proofpoint研究人员发现了来自一个相对年轻的黑客组织“TA2101”的活动,目标是德国公司和组织,以提供和安装后门恶意软件。
钓鱼电子邮件试图伪装成来自德国联邦税务总局(Bundeszentralamt fur Steuern)——使用了相似的域名、文字和logo,旨在传播Cobalt Strike(一款内网渗透的商业远控软件,曾被黑客组织Cobalt Group、APT32和APT19用于攻击活动)。
不仅如此,在最近的活动中,TA2101还将攻击范围扩大到了意大利和美国,钓鱼电子邮件试图伪装成来自意大利税务局(Agenzia Delle Entrate)以及美国邮政(USPS),旨在传播Maze勒索软件和IcedID银行木马。
10月16日至23日(德国)
10月16日至23日,Proofpoint公司的研究人员观察到了数百封携带恶意Microsoft Word附件的钓鱼电子邮件。电子邮件声称有一个笔数百欧元的退税,需要在三天之内处理,目标是IT服务公司。
图1.10月23日观察到的钓鱼电子邮件,声称来自德国联邦税务总局
Microsoft Word附件在打开后会执行一个Microsoft Office宏,然后再执行一个PowerShell脚本,该脚本会将Cobalt Strike下载并安装到收件人的系统上。
图2. 用于下载并安装Cobalt Strike的恶意Microsoft Word附件(德国)
10月29日(意大利)
10月29日,Proofpoint公司的研究人员观察到了数十封类似的电子邮件,但目标换成了意大利的制造公司。
电子邮件以执法通知为主题,要求收件人打开附件阅读,以避免进一步的税收评估和罚款。
打开恶意Microsoft Word附件同样会导致Microsoft Office宏执行,进而执行一个PowerShell脚本,最终下载并安装Maze勒索软件。
图3.发送给意大利公司的钓鱼电子邮件
图4.用于下载并安装Maze勒索软件的恶意Microsoft Word附件(意大利)
11月6日(德国)
11月6日,Proofpoint公司的研究人员再次观察到了数百封伪装成来自德国联邦税务总局的钓鱼电子邮件,目标增加了商业服务公司,旨在传播Maze勒索软件。
图5.用于下载并安装Maze勒索软件的恶意Microsoft Word附件(德国)
Maze勒索软件会对所有文件进行加密,并在每一个文件夹下留下一份TXT格式的赎金票据。
图6. Maze勒索软件赎金票据
11月7日(德国)
11月7日,数百份几乎完全相同的钓鱼电子邮件继续被发送给德国的商业和IT服务公司,但发件人切换为了德国互联网服务提供商1&1 Internet AG。
图7. 用于下载并安装Maze勒索软件的恶意Microsoft Word附件(德国)
11月12日(美国)
11月12日,数千封伪装成来自美国邮政的钓鱼电子邮件被发送给了美国的医疗保健行业,还在传播名为“IcedID”的银行木马。
图8. 用于下载并安装IcedID银行木马的恶意Microsoft Word附件(美国)
结论
到目前为止,钓鱼电子邮件仍是用来传播恶意软件的主要媒介。复制而来的文字、盗用的logo外加高仿的域名,让这些电子邮件看上去很像是来自合法机构,进而也就导致收件人很容易中招。
如此看来,养成一个良好的电子邮件收发习惯真的很有必要。为避免成为黑客攻击的受害者,请一定不打开任何来自不明的电子邮件,尤其不要打开其中的附件,至少是在使用杀毒软件对其进行完成扫描之前。
来源:网络攻防
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!