MirrorBlast 網絡釣魚活動以金融機構為目標

安全研究人員發現了一個被稱為 MirrorBlast的正在進行的網絡釣魚活動。該活動似乎針對從事金融工作的專業人士。

一個多月前,ET Labs 的一個研究團隊發現了 MirrorBlast。該活動在網絡釣魚電子郵件中使用惡意鏈接,將受害者定向到研究人員稱之為"武器化"的 Excel 文件。

惡意的 MS Office 文件通常包含不法分子使用的嵌入式宏。 MirrorBlast 的情況也不例外。雖然大多數反惡意軟件套件對類似威脅都有某種防禦能力,但使 MirrorBlast 使用的 Excel 文件特別危險的是嵌入式宏的性質。

MirrorBlast 文件中使用的宏被描述為"極其輕量級"。這意味著他們能夠欺騙和規避許多反惡意軟件系統。

Morphisec 的研究人員拿到了一個惡意軟件樣本並將其拆開。 Excel 文件觸發的感染鏈讓人聯想到代號為TA505的俄語高級持續威脅參與者(也稱為 Graceful Spider)使用的方法和攻擊媒介。

網絡釣魚電子郵件中包含的鏈接會導致模仿 OneDrive 目錄或惡意 SharePoint 頁面的頁面的惡意、偽造副本。最後,受害者總是登陸武器化的 Excel 文件。

網絡釣魚活動中使用的社會工程誘餌在某種程度上可以預見地集中在 Covid 上。這些虛假信息看起來像是公司備忘錄,內容是關於重組安排和與 Covid 情況相關的工作場所變化。

幸運的是,由於兼容性問題,文件中的惡意宏只能在 32 位安裝的 MS Office 上執行。惡意宏本身運行 JavaScript 代碼,首先檢查主機系統上的沙箱,然後使用合法的 Windows 可執行文件 msiexec.exe 下載並運行安裝程序包。

TA505,被懷疑是網絡釣魚 MirrorBlast 活動背後的實體,被描述為一個出於經濟動機的威脅參與者,它總是在改變攻擊向量和方法以保持領先於研究人員。