聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

MirrorBlast 公司指出,和俄罗斯存在关联的威胁组织 TA505 使用一个轻量级 Office 文档向位于多个地点的金融机构传播恶意软件,攻击目标包括位于加拿大、美国、中国香港、欧洲等地的多个行业,而 VirusTotal 扫描引擎对它的检测率较低。

这起攻击活动被称为“MirrorBlast”,始于2021年9月,曾在4月份发动类似攻击。感染链首先从使用钓鱼邮件传播的恶意文档开始,随后转向 Google feedproxy URL、使用伪装成文件分享请求的SharePoint和OneDrive 诱饵。

这些URL将受害者引向受陷的 SharePoint 或虚假的 OneDrive 套件,使攻击者逃避检测。此外,SharePoint 登录要求确保攻击者可逃避沙箱。

ActiveX 兼容性问题导致攻击中使用的宏代码仅在32位的 Office 版本上执行。该代码负责反沙箱检查,检查计算机名称是否和用户域名一样以及用户名是 admin 还是 administrator。

从和 MirrorBlast 攻击活动相关联的 TTPs 来看,Morphisec 公司认为臭名昭著的俄罗斯威胁组织 TA505(也被称为 Evil Corp)是幕后黑手。具体而言,该感染链应用导向 Rebol/KiXtart 加载器的 Excel 文档和 SharePoint/OneDrive 诱饵以及特定的域名。此外,SharePoint 诱导受害者访问的页面以及其它部件都和 TA505之间存在关联。

TA505 至少活跃于2014年,是受经济利益驱动的黑客组织,以使用 Dridex Trojan 和 Locky 勒索软件最为人知。然而,多年来,该黑客组织已转向多个恶意软件家族,包括现成可用的恶意软件和合法工具。

Morphisec 公司指出,“TA505是目前活跃在市场上的受经济利益驱动的多个黑客组织之一,也是最具创造性的黑客组织之一,因为它们倾向于不断变更攻击从而达到目标。对于TA505或其它创新型威胁组织而言,MirrorBlast 的新型攻击链也是如此。“

推荐阅读

俄罗斯版谷歌Yandex 遭Mēris僵尸网络大规模攻击

俄罗斯网络间谍被指攻击斯洛伐克政府长达数月

英美安全机构称俄罗斯正在暴力攻击全球数百家组织机构

俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光

原文链接

https://www.securityweek.com/russia-linked-ta505-back-targeting-financial-institutions

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

俄罗斯国家黑客TA505被指攻击金融机构相关推荐

  1. 俄罗斯国家黑客被指在2017年攻陷荷兰警方系统

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 荷兰报纸<民众报> (Volkskrant) 在调查 MH-17 飞机失事事故时从多个消息来源处获悉,为俄罗斯情报服务机构效力 ...

  2. FBI 和 NSA 披露俄罗斯国家黑客使用的 Linux 恶意软件

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 FBI 和 NSA 联合发布安全警告,详细披露了据称是俄罗斯军事黑客开发并部署在真实攻击活动中的Linux 新型恶意软件 Drovor ...

  3. 俄罗斯国家黑客组织 Gamaredon的成员身份和录音曝光(附视频)

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 乌克兰安全局 (SSU) 公开了Gamaredon 网络间谍组织五名成员的真实身份,并指这些人任职于俄罗斯联邦安全局 (FSB) 在克里米亚的分 ...

  4. 俄罗斯网络间谍被指攻击斯洛伐克政府长达数月

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 斯洛伐克的两家安全公司 ESET 和 IstroSec 本周表示,和俄罗斯情报部门存在关联的俄罗斯网络间谍组织数月以来一直在攻击斯洛伐克政府. ...

  5. FBI 连续第三次发布关于国家黑客利用 Kwampirs 发动全球供应链攻击的警告

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周一,FBI 发布关于国家黑客使用 Kwampirs 恶意软件攻击全球供应链企业和其它行业的警告. 这是 FBI 今年以来发布的第三次 ...

  6. 请君入瓮: 火眼自称遭某 APT 国家黑客组织攻击

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼公司自称被黑,表示 "高度复杂的威胁行动者"访问了其内网且用于测试客户网络的红队工具被盗. 政府客户信息和红队 ...

  7. 美国顶级安全公司遭国家黑客攻击,网络武器库失窃

    全球最大的网络安全公司之一FireEye(火眼)于12月8日透露,其内部网络被某个"拥有一流网络攻击能力的国家"(黑客)突破. FireEye是一家全球知名的网络安全公司,成立于2 ...

  8. 朝鲜国家黑客被指利用 LinkedIn 攻击欧洲航空公司和军队企业

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 ESET 公司在虚拟世界安全大会上指出,臭名昭著的朝鲜国家黑客组织 Lazarus Group 利用 LinkedIn 攻击欧洲航空航 ...

  9. 朝鲜国家黑客组织Lazarus 被指攻击IT供应链

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

最新文章

  1. 方向对了?MIT新研究:GPT-3和人类大脑处理语言的方式惊人相似
  2. (转) Twisted :第十八部分 Deferreds 全貌
  3. java 生成无重复 随机数
  4. 数据结构----单源最短路径Dijkstra
  5. oracle 安装ora 27102,Oracle ora-27102 错误
  6. 避免jQuery名字冲突--noConflict()方法
  7. 重构计算力 浪潮M5新一代服务器闪耀登场
  8. STM32程序的烧录方式 与 ISP一键下载
  9. 3d老显示计算机内存不足,3d 出现:应用程序内存不足,将立即关闭。。。 怎么处理...
  10. SAM-BA 2.14 reconfiguration----DIY你的sam-ba
  11. ubuntu 16.04/18.04安装TP-LINK TL-WDN5200H无线USB网卡驱动
  12. ARM与NEON加速指令
  13. Vi编辑器的常用命令1(文件内操作)
  14. SQL常用基础语句(SQL常用增删改查语句及案例)
  15. 艾永亮:中国企业如何跳出竞争红海?超级产品战略引发新思考
  16. 前端js获取一个数组中的连续数字
  17. 有哪些好的习惯值得培养
  18. 复盘2020全球旅游业:新冠疫情巨大冲击下的艰难复苏
  19. touchgfx视频教程
  20. C# JSON、XML互转

热门文章

  1. 使用Vitamio打造自己的Android万能播放器(4)——本地播放(快捷搜索、数据存储)...
  2. 前端埋点方法解析及优缺点分析
  3. Oracle之自动收集统计信息
  4. GTID复制异常的解决步骤
  5. Unity 可重复随机数
  6. python网络爬虫(一):网络爬虫科普与URL含义
  7. 易观的大数据革命 分析师与机器人协同办公
  8. ORACLE查询表最近更改数据的方法
  9. 我再也不-或许永远不-用zend studio-受够了!
  10. CoffeeScript简介 一