금융 기관을 노리는 MirrorBlast 피싱 캠페인

보안 연구원들은 MirrorBlast라고 불리는 진행 중인 피싱 캠페인을 발견했습니다. 이 캠페인은 금융 분야에서 일하는 전문가를 대상으로 하는 것 같습니다.

MirrorBlast는 한 달 전에 ET Labs의 연구팀에 의해 발견되었습니다. 이 캠페인은 연구원들이 "무기화된" Excel 파일이라고 부르는 파일로 피해자를 안내하는 피싱 이메일 내부의 악성 링크를 사용합니다.

악성 MS Office 파일에는 일반적으로 악의적인 사용자가 사용하는 매크로가 포함되어 있습니다. MirrorBlast의 경우도 다르지 않습니다. 대부분의 맬웨어 방지 제품군에는 유사한 위협에 대한 일종의 방어 기능이 있지만 MirrorBlast가 사용하는 Excel 파일을 특히 위험하게 만드는 것은 포함된 매크로의 특성입니다.

MirrorBlast 파일에 사용된 매크로는 "매우 가벼운" 것으로 설명됩니다. 이것은 그들이 많은 맬웨어 방지 시스템을 속이고 우회할 수 있음을 의미합니다.

Morphisec의 연구원들은 맬웨어 샘플을 손에 넣어 분리했습니다. Excel 파일에 의해 촉발된 감염 체인은 Graceful Spider라고도 하는 코드명 TA505 인 러시아어 지능형 지속적 위협 행위자가 사용하는 접근 방식 및 공격 벡터를 연상시킵니다.

피싱 이메일에 포함된 링크는 OneDrive 디렉터리 또는 악의적인 SharePoint 페이지를 모방하는 악의적인 가짜 페이지 복사본으로 연결됩니다. 결국 피해자는 항상 무기화된 엑셀 파일에 착륙한다.

피싱 캠페인에 사용된 사회 공학 미끼는 어느 정도 예상할 수 있듯이 코로나바이러스에 초점을 맞추고 있습니다. 위조 메시지는 코로나 사태와 관련된 구조조정 및 직장 변화에 대한 회사 메모처럼 보이도록 맞춤 제작되었습니다.

다행스럽게도 파일 내의 악성 매크로는 호환성 문제로 인해 MS Office의 32비트 설치에서만 실행할 수 있습니다. 악성 매크로 자체는 먼저 호스트 시스템에서 샌드박싱을 확인한 다음 합법적인 Windows 실행 파일 msiexec.exe를 사용하여 설치 프로그램 패키지를 다운로드하고 실행하는 JavaScript 코드를 실행합니다.

피싱 MirrorBlast 캠페인의 배후에 있는 것으로 의심되는 TA505는 항상 공격 벡터와 접근 방식을 변경하여 연구원보다 앞서 나가는 재정적 동기가 있는 위협 행위자로 설명됩니다.