回避恶意软件正在通过电子邮件中传播,类似于民族国家演员的竞选活动
Microsoft声称,通过电子邮件传播恶意软件的一种新的攻击技术称为“ HTML走私”,越来越多地针对银行组织。
该攻击向量于今年早些时候浮出水面,该技术巨头被描述为“高度回避的恶意软件交付技术”,该技术利用合法的HTML5和JavaScript功能掩盖了其真实的动作。
微软表示,最近几个月,它通过部署银行业务的电子邮件活动目睹了针对银行的攻击恶意软件,远程访问木马(大鼠)和其他有效载荷。
一个博客文章供应商从供应商那里解释说,它首先确定了5月在五月份被民族国家攻击者APT29(又名Nobelium)在长矛捕捞活动中使用的HTML走私技术。
“最近,我们还看到了这项技术提供了银行Trojan Mekotio,以及异步/NJRAT和TRACKBOT,攻击者利用的恶意软件来控制受影响的设备并交付勒索软件有效载荷和其他威胁。” Microsoft详细说明。
攻击
HTML走私攻击使恶意演员能够在专门精心设计的HTML附件或网页中“走私”编码脚本。beplay体育能用吗
如果目标在其Web浏览器中打开HTML,则将恶意脚本解码,并在其设备上部署有beplay体育能用吗效载荷。
博客解释说:“因此,攻击者没有直接通过网络直接通过恶意可执行通过,而是在防火墙后面构建了恶意软件。”
HTML走私攻击绕过标准外围安全控制(例如Web代理和电子邮件网关),通常仅检查可疑附件(例如EXE,ZIP或DOCX文件),或者基于签名和模式。beplay体育能用吗
在通过浏览器将HTML文件加载在端点上之后,也会创建恶意文件,这意味着安全工具只能看到他们认为是合法的HTML内容和JavaScript流量,然后才太晚了。
时间线
微软至少从5月以来就一直在跟踪这些攻击,当时它确定了诺比尔运动。
从那时起,它指出,它已经发生了许多尝试,例如7月和8月的攻击,当时微软表示“开源情报(OSINT)社区信号”显示了HTML走私的增长,该活动提供了远程访问Trojans的竞选活动(大鼠)例如异步/njrat。
9月,研究人员还目睹了一项电子邮件活动,该活动利用了HTML走私来提供Trickbot,臭名昭著的银行木马近年来,这针对教育,医疗保健和金融业的全球组织和机构。
微软将这项Trickbot活动归因于“新兴,以财务为动机网络犯罪分子小组“命名为“ DEV-0193”。
背景Trickbot逮捕:俄罗斯国民因涉嫌在发展臭名昭著的银行特洛伊木马方面的作用而引渡了我们
Microsoft解释说,DEV-0193被认为主要针对健康和教育行业。
供应商说,该集团“与勒索软件运营商(例如臭名昭著的Ryuk勒索勒索软件背后的操作员)紧密合作”。
“在妥协组织之后,该小组充当了后续勒索软件攻击的基本枢轴点和推动者。他们还经常向上述运营商出售未经授权的访问权限。
微软声称:“因此,一旦该组损害了一个环境,勒索软件攻击很可能会随之而来。”
Microsoft博客在DEV-0193广告系列中包含更多技术细节。
