Office的VBA宏攻击案例考察 - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

行业资讯

您当前所在的位置:首页>>动态资讯>>行业资讯

Office的VBA宏攻击案例考察

点击数:11302020-03-13 12:02:47 来源:Office的VBA宏攻击案例考察

新闻摘要:火眼在刚过去的2020年1月里持续观察多起定位钓鱼攻击活动,其攻击方式是下载并布署名为MINEBRIDGE的后门程序,而攻击对像主要是美国金融服务机构,但是我们相信实际上很可能远超过最初观察到的受害范围,我们发现至少有一起攻击活动是针对韩国机构的,包括市场营销服务供应商。

By FireEye






火眼在刚过去的2020年1月里持续观察多起定位钓鱼攻击活动,其攻击方式是下载并布署名为MINEBRIDGE的后门程序,而攻击对像主要是美国金融服务机构,但是我们相信实际上很可能远超过最初观察到的受害范围,我们发现至少有一起攻击活动是针对韩国机构的,包括市场营销服务供应商。
在这些攻击活动中,钓鱼攻击的骇客攻击战术流程(TTP)似乎都是精心设计的,有些虽然也有被公开记录的,但较不常见的手法,似乎是为了减低被侦察发现的机会。攻击者在所有攻击活动中都使用了名为Acelle的自建电邮推广方案。







钓鱼信息实例







实例一:税务

我们早在去年12月就发现了MINEBRIDGE后门程序的样本,并在今年1月初观察到第一起与此相关的钓鱼攻击活动。用于发出钓鱼信息的电邮域名似乎是专为这些攻击活动而在几周内注册的,域名也与该些钓鱼信息的内容一致。以下是其中三个较有代表性的实例。

特点:
1.电邮的主题是「注册会计师」(CPA),而发出邮件的域名(rogervecpa.com)也与此一致
2.附件的攻击负载也做成好似会计师事务的税务表
3.观察到的目标只限金融行业




实例二:市场营销



特点:

1.电邮的主题同样是「注册会计师」(CPA),域名除了rogervecpa.com之外还有pt-cpaaccountant.com,也是在去年11月底才注册

2.件名和内容都提到市场营销的合作机会

3.附件的攻击负载采用一般商务主题,诱使用户启动宏(macro)

4.观察到的目标集中在韩国的市场营销服务供应商





实例三:招聘



特点:
1.使用了多个不同电邮地址发送电邮,但全都是与招聘相关的域名(agent4career.com),这是在今年1月20日才注册的
2.件名和内容都提到聘用具金融行业经验的求职者
3.附件的攻击负载伪装成上述求职者的履历
4.观察到的目标只限金融行业









藏于文档的宏攻击




以上提到的钓鱼文件利用了多种值得注意的TTP,包括在Office软件界面隐藏宏的存在,以及俗称VBA stomping的手段。所谓VBA stomping,是指窜改Office文档,使宏源代码与P码(p-code)不符,关于这种窜改手段,以后有机会再详细介绍。


当用户启用有恶意代码的宏之后,就会开启MINEBRIDGE后门程序。MINEBRIDGE其实是一个32位C++后门程序,透过骑劫未打补丁的旧版本远端桌面程序TeamViewer来实现。






藏身其后的骇客团








我们发现MINEBRIDGE的样本其实是打包在MINEDOOR的载入程序中,而MINEDOOR也可以用于载入FRIENDSPEAK后门程序,我们早在去年秋天就发现了使用这种手法的骇客团——TA505,他们用同样手法发动了多起钓鱼攻击活动。

不过MINEBRIDGE与FRIENDSPEAK攻击的TTP不尽相同,证明这种TTP不一定是TA505的专利。另一个环境证据就是,一般说俄语的骇客团在基督东正教的圣诞节期间都是不活动的,而FRIENDSPEAK在这共间没有观察到任何活动,样本中也有诸多俄语痕迹,说明TA505骇客团很有可能是说俄语的,但是MINEBRIDGE攻击在这期间仍有活动。

尽管如此,暂时还不能排除MINEBRIDGE攻击活动是TA505骇客团的分支,虽然入侵后的活动与痕迹会有助于确定他们之间的关系,但所幸我们暂时还没观察到有电脑主机MINEBRIDGE成功入侵。我们还会继续观察留意他们的活动。



 立即关注科明大同CyberWorld的微信公众号,获取最新的网络安全情报。如有任何疑问,请随时透过微信或电邮(info@cyberworldchina.com)与我们联系。

                    







【责任编辑:科明大同】(Top) 返回页面顶端
分享到:
0

QQ联系