又到一年报税季,TA2101对德意美三国广撒网钓鱼 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

又到一年报税季,TA2101对德意美三国广撒网钓鱼

申博_安全预警 申博 77次浏览 已收录 0个评论

概述

Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业,但偏重于商业、IT服务、制造业以及医疗保健行业的人群。

Case 1:德国

2019年10月16日至23日,Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件,其附件带有恶意Microsoft Word文档,内容是要求收件人提交退还税款的申请(使用附件表单),并在三天内进行处理。这些邮件批量小,主要针对IT服务公司。

 又到一年报税季,TA2101对德意美三国广撒网钓鱼

图1:钓鱼邮件示例

Microsoft Word附件打开后,将自动执行Microsoft Office宏,进而执行PowerShell脚本,再将Maze勒索软件payload下载并安装到用户系统上。

 又到一年报税季,TA2101对德意美三国广撒网钓鱼

图2:PowerShell脚本稍后将下载Cobalt Strike

TA2101选择使用Cobalt Strike,这是一款获得商业许可的软件工具,通常用于渗透测试,该产品将自己描述为“敌方模拟软件,旨在执行有针对性的攻击和模拟高级威胁行动者的后利用行为”,并用于组织保护其环境。虽然它作为一种仿真工具在被广泛合法地使用,但各类威胁组织还是可以将它作为恶意工具来使用,如Cobalt Group、APT32和APT19。

11月6月和11月7日,攻击者又分别冒充了德国财政部和德国互联网服务提供商1&1 Internet AG再次向目标企业发起钓鱼攻击。

Case 2:意大利

针对意大利的钓鱼行动跟德国大体一致,不过这次冒充的对象变成了意大利税务部,主要面向制造业公司。

 又到一年报税季,TA2101对德意美三国广撒网钓鱼

图3:针对意大利的钓鱼邮件示例

Case 3:美国

11月12日,Proofpoint再次观察到数千封电子钓鱼邮件,这次冒充了美国邮政服务(USPS)并分发了IcedID银行木马,面向医疗保健行业。

 又到一年报税季,TA2101对德意美三国广撒网钓鱼

图4:PowerShell脚本将IcedID下载并安装到受害者的系统

结论

与财务税收相关的网络钓鱼活动呈现季节性上升趋势,往往集中在各个地区年度纳税申报截止日期之前。攻击者还聪明地利用了模仿对象的邮件格式、域名、品牌logo等,让用户防不胜防,另外邮件数量不多也能表明,现在攻击者在钓鱼活动可能更注重效率而非数量。

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明又到一年报税季,TA2101对德意美三国广撒网钓鱼
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址