俄罗斯国家黑客TA505被指攻击金融机构

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

这起攻击活动被称为“MirrorBlast”，始于2021年9月，曾在4月份发动类似攻击。感染链首先从使用钓鱼邮件传播的恶意文档开始，随后转向 Google feedproxy URL、使用伪装成文件分享请求的SharePoint和OneDrive 诱饵。

这些URL将受害者引向受陷的 SharePoint 或虚假的 OneDrive 套件，使攻击者逃避检测。此外，SharePoint 登录要求确保攻击者可逃避沙箱。

ActiveX 兼容性问题导致攻击中使用的宏代码仅在32位的 Office 版本上执行。该代码负责反沙箱检查，检查计算机名称是否和用户域名一样以及用户名是 admin 还是 administrator。

从和 MirrorBlast 攻击活动相关联的 TTPs 来看，Morphisec 公司认为臭名昭著的俄罗斯威胁组织 TA505（也被称为 Evil Corp）是幕后黑手。具体而言，该感染链应用导向 Rebol/KiXtart 加载器的 Excel 文档和 SharePoint/OneDrive 诱饵以及特定的域名。此外，SharePoint 诱导受害者访问的页面以及其它部件都和 TA505之间存在关联。

TA505 至少活跃于2014年，是受经济利益驱动的黑客组织，以使用 Dridex Trojan 和 Locky 勒索软件最为人知。然而，多年来，该黑客组织已转向多个恶意软件家族，包括现成可用的恶意软件和合法工具。

Morphisec 公司指出，“TA505是目前活跃在市场上的受经济利益驱动的多个黑客组织之一，也是最具创造性的黑客组织之一，因为它们倾向于不断变更攻击从而达到目标。对于TA505或其它创新型威胁组织而言，MirrorBlast 的新型攻击链也是如此。“