导语:Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件
概述
Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业,但偏重于商业、IT服务、制造业以及医疗保健行业的人群。
Case 1:德国
2019年10月16日至23日,Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件,其附件带有恶意Microsoft Word文档,内容是要求收件人提交退还税款的申请(使用附件表单),并在三天内进行处理。这些邮件批量小,主要针对IT服务公司。
图1:钓鱼邮件示例
Microsoft Word附件打开后,将自动执行Microsoft Office宏,进而执行PowerShell脚本,再将Maze勒索软件payload下载并安装到用户系统上。
图2:PowerShell脚本稍后将下载Cobalt Strike
TA2101选择使用Cobalt Strike,这是一款获得商业许可的软件工具,通常用于渗透测试,该产品将自己描述为“敌方模拟软件,旨在执行有针对性的攻击和模拟高级威胁行动者的后利用行为”,并用于组织保护其环境。虽然它作为一种仿真工具在被广泛合法地使用,但各类威胁组织还是可以将它作为恶意工具来使用,如Cobalt Group、APT32和APT19。
11月6月和11月7日,攻击者又分别冒充了德国财政部和德国互联网服务提供商1&1 Internet AG再次向目标企业发起钓鱼攻击。
Case 2:意大利
针对意大利的钓鱼行动跟德国大体一致,不过这次冒充的对象变成了意大利税务部,主要面向制造业公司。
图3:针对意大利的钓鱼邮件示例
Case 3:美国
11月12日,Proofpoint再次观察到数千封电子钓鱼邮件,这次冒充了美国邮政服务(USPS)并分发了IcedID银行木马,面向医疗保健行业。
图4:PowerShell脚本将IcedID下载并安装到受害者的系统
结论
与财务税收相关的网络钓鱼活动呈现季节性上升趋势,往往集中在各个地区年度纳税申报截止日期之前。攻击者还聪明地利用了模仿对象的邮件格式、域名、品牌logo等,让用户防不胜防,另外邮件数量不多也能表明,现在攻击者在钓鱼活动可能更注重效率而非数量。
本文翻译自:https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us如若转载,请注明原文地址: https://www.4hou.com/web/21626.html