黑客組織TA2101，該組織採用越來越複雜的社會工程和欺騙手段傳播惡意軟體。

根據一項新的研究，已經發現了一個新的威脅行為者，冒充美國郵政服務局（USPS）和其他政府機構向德國，義大利和美國的各種組織分發和安裝後門惡意軟體。

研究人員說，網路安全公司Proofpoint的研究人員在10月16日至11月12日之間觀察到了這些活動，這與不良行為者採用越來越複雜的社會工程和欺騙手段傳播惡意軟體的新策略相吻合。

Proofpoint Threat Insight Team釋出的部落格星期四揭開了該研究的部落格，該威脅參與者傳送了惡意電子郵件，“沒有針對特定垂直領域，而是針對業務和IT服務，製造和醫療保健的收件人” 。

在2019年10月16日至11月12日之間，Proofpoint研究人員觀察到該行為者向德國，義大利和美國的組織傳送惡意電子郵件訊息，這些攻擊物件沒有特定的垂直領域，但收件人的業務和IT服務，製造業和衛生保健。

2019年10月16日至23日

10月16日至23日，Proofpoint研究人員觀察到數百封電子郵件，試圖傳遞帶有德國誘餌的惡意Microsoft Word附件，從而冒充德國聯邦財政部的Bundeszentralamt fur Steuern。要特別注意的是，使用了被盜品牌以及使用用於傳送方電子郵件地址的相似.icu域來設計有效的誘餌。

他指出，應根據幾百歐元的先前退稅額（應觀察到的樣本中的694.00歐元），應於2019年退還稅款（“ BenachrichtigungüberdieSteuerrückerstattung”），並且收件人應提交退款申請（使用附件Microsoft Word文件表單）在三天內進行處理。作為小批量活動的一部分，這些電子郵件主要針對IT服務公司。

圖1：10月23日傳送的電子郵件誘餌，聲稱是來自德國聯邦財政部的郵件，通知收件人退稅，並帶有惡意的Microsoft Word附件。

Microsoft Word附件在開啟後會執行Microsoft Office巨集，進而執行PowerShell指令碼，該指令碼會將Maze勒索軟體有效負載下載並安裝到受害者的系統上。

圖2：德語語言的惡意Microsoft Word附件（如果使用者啟用了巨集）將執行Microsoft Office巨集，該巨集又執行一個PowerShell指令碼，該指令碼會下載Cobalt Strike。

十月29，2019

10月29日，Proofpoint的研究人員觀察到數十封電子郵件，試圖傳遞帶有義大利誘餌的惡意Microsoft Word附件，從而冒充義大利稅務部Agenzia Entrate。與最初觀察到的德國戰役一樣，該演員使用了被盜的品牌以及用於發件人電子郵件地址的類似.icu域，以誘使有效誘餌。

該誘餌似乎是對執法活動的通知（“ aggiornamento：attivita di對比度o all'evasione ”），並指出收件人應開啟並閱讀隨附的檔案，以避免進一步的稅收評估和罰款。

作為跨多個行業的小批量活動的一部分，這些電子郵件主要針對製造公司，並且將Microsoft Office巨集的感染鏈用於PowerShell指令碼中，該指令碼最終下載並安裝了Maze勒索軟體。

圖3：傳送給義大利組織的電子郵件誘餌是有關執法活動的通知，敦促收件人開啟並閱讀隨附的檔案，以避免進一步的稅收評估和罰款。

該惡意文件據稱是義大利稅收部使用的RSA SecurID金鑰。

圖4：開啟了義大利語的Microsoft Word附件，並且使用者啟用了巨集後，將執行執行PowerShell指令碼的Microsoft Office巨集，該指令碼隨後將Maze勒索軟體有效負載下載並安裝到受害者的系統上。

十一月6，2019

在2019年11月6日，Proofpoint研究人員觀察到數百封電子郵件試圖傳遞帶有德國誘餌的惡意Microsoft Word附件，再次冒充了德國聯邦財政部。與前兩個廣告系列一樣，該演員使用了被盜的品牌，並使用了相似的.icu域作為發件人的電子郵件地址，以有效誘使他人。該惡意文件聲稱是德國財政部使用的RSA SecurID金鑰。

作為小批量活動的一部分，這些電子郵件主要針對商業和IT服務公司，並使用與以前的活動相同的感染鏈。

圖5：德語Microsoft Word附件，開啟該附件並使用者啟用巨集後，將執行執行PowerShell指令碼的Microsoft Office巨集，該指令碼隨後將Maze勒索軟體有效負載下載並安裝到受害者的系統上。

開啟Microsoft Word文件並啟用巨集將在使用者的系統上安裝Maze勒索軟體，對他們的所有檔案進行加密，並在每個目錄中以TXT格式儲存類似於以下內容的勒索註釋。

圖6：受害者的檔案被Maze勒索軟體加密後，勒索通知示例儲存在受害者的系統中。

十一月7，2019

在2019年11月7日，Proofpoint研究人員觀察到數百封電子郵件試圖傳遞帶有德國誘餌的惡意Microsoft Word附件，這次冒充了德國網際網路服務提供商1＆1 Internet AG。

與11月6日的競選活動一樣，該演員使用了類似的.icu域作為發件人的電子郵件地址，以有效地吸引使用者。該活動伴隨著惡意的Microsoft Word附件，該附件帶有所謂的RSA SecurID金鑰，其格式與11月6日的活動使用的格式類似。

圖7：德語Microsoft Word附件，開啟該附件並使用者啟用巨集後，將執行Microsoft Office巨集，該巨集又會啟動PowerShell指令碼，然後將Maze勒索軟體有效負載下載並安裝到受害者的系統上。

作為小批量活動的一部分，這些電子郵件主要針對使用相同感染鏈的商業和IT服務公司。

2019年11月12日

在2019年11月12日，Proofpoint研究人員觀察到數千封電子郵件，試圖傳遞帶有英語誘餌的惡意Microsoft Word附件，這一次冒充了美國郵政服務（USPS）並分發了IcedID銀行木馬。

該活動從以前的歐洲運動不同之處在於演員選擇了.COM外形相似，uspsdelivery-service.com代替.icu域。該活動伴隨著惡意的Microsoft Word附件，該附件帶有所謂的RSA SecurID金鑰，其格式與以前的活動中使用的相似。

圖8：一個英文Microsoft Word附件，當開啟該附件並使用者啟用巨集時，該Microsoft附件將執行一個Microsoft Office巨集，該巨集將啟動PowerShell指令碼，該指令碼隨後將IcedID有效負載下載並安裝到受害者的系統上。

作為中等規模活動的一部分，這些電子郵件使用相同的感染鏈主要針對醫療保健行業。

域和URL分析

Proofpoint研究人員觀察到了一系列一致的TTP（戰術，技術和程式），可以將這些戰役歸因於單個演員。這些措施包括使用  .icu域，以及為這些活動中使用的域的DNS條目儲存的授權機構（SOA）資源記錄的相同電子郵件地址。

此外，Proofpoint研究人員觀察到，該參與者使用的規範URL的格式可重複，且字串中的word _ /。tmp隨時間略有變化（包括在下面的IOC部分中。），Proofpoint研究人員懷疑該word_ / .tmp的使用可能與infosec社群在2019年較早發現的以前的活動相關聯。

gladkoff1991@yandex.ru之間的聯絡不僅限於最近的Cobalt Strike活動，還涉及2019年9月以“ eFax”為主題的Buran Ransomware活動的SOA記錄。

德國鈷罷工/德國稅務局的惡搞（10月23日）

誘餌電子郵件地址：antwortensienicht@bzst-informieren.icu

SOA：glankoff1991@yandex.ru

義大利迷宮運動/義大利稅務部惡作劇（10月29日）

誘餌電子郵件地址：info@agenziaentrate.icu

SOA：glankoff1991@yandex.ru

Proofpoint研究人員還確定，由該參與者發起的所有Maze Ransomware下載中都存在IP地址91.218.114 [。] 37。

德國迷宮運動/德國稅務局的惡搞（11月6日）

此活動使用與10月23日相同的誘餌，包括相同的“ RSA Key”惡意Microsoft Word附件。這也是我們在URL 上第二次使用  word _ /。tmp變體的地方。

德國迷宮戰役/德國ISP欺騙（11月7日）

此活動分發了Maze勒索軟體，冒充了德國網際網路服務提供商（1＆1 Internet AG），並使用了幾乎相同的帶有“ RSA金鑰”誘餌的惡意Word文件，該文件在11月6日德國稅務局活動和10月23日德國活動中被觀察到使用鈷擊。

誘餌電子郵件地址：antwortensienicht@bzstinform.icu

SOA：glankoff1991@yandex.ru，與10月23日的“鈷罷工”活動相匹配。

美國IcedID廣告系列/ USPS欺騙（11月12日）

11月12日，Proofpoint研究人員觀察到一場利用USPS主題誘餌投放IcedID木馬的運動。儘管在此廣告系列中未使用.icu域，而是選擇了一個不同的相似域名uspsdelivery-service [。] com，但這些惡意文件使用了以前的Cobalt Strike和Maze Ransomware廣告系列中觀察到的類似“ RSA”風格的誘餌，並新增了進一步的證據來支援該惡意軟體家族分佈背後是同一行為者/組織的理論。

uspsdelivery-service [。] com的SOA 是gladkoff1991@yandex.ru，它與以前的活動匹配。

結論

正如Proofpoint在2019年4月的Threat Insight帖子，以稅收為主題的電子郵件戰役目標2019歸檔者中詳細介紹的那樣，與財務相關的誘餌已季節性使用，與涉稅相關的惡意軟體和網路釣魚活動呈上升趨勢，導致不同地區的年度納稅備案截止日期。在2017年，這些活動集中於網路釣魚和日益複雜的社會工程學以及銀行木馬和勒索軟體。2018年，Proofpoint研究人員繼續觀察複雜的電子郵件活動，這些活動以美國以稅收為主題的緊急誘餌和令人信服的IRS品牌欺騙。

通過使用類似的緊急稅收評估和退款誘餌在德國和義大利發起的這些新活動，Proofpoint研究人員現在已經觀察到歐洲類似的惡作劇在分發後門特洛伊木馬程式，例如Cobalt Strike和Maze勒索軟體。這些欺騙以使用令人信服的被盜商標和歐洲稅收機構和其他面向公眾的實體（例如Internet服務提供商）的相似域名而著稱。最近，該演員襲擊了欺騙美國郵政局的美國組織。這些誘餌的複雜程度不斷提高，反映了社會工程學的改進以及在電子郵件威脅領域中全球許多戰役中出現的數量之上的有效性上的關注。

妥協指標（IOC）

加黑吧！

型別

描述

44991186a56b0d86581f2b9cc915e3af426a322d5c4f43a984e6ea38b81b7bed

SHA256

文獻

cfd8e3a47036c4eeeb318117c0c23e126aea95d1774dae37d5b6c3de02bdfc2a

SHA256

文獻

9f2139cc7c3fad7f133c26015ed3310981de26d7f1481355806f430f9c97e639

SHA256

文獻

5f1e512d9ab9b915b1fc925f546ed559cbfa49df53229e2f954a1416cf6f5ee4

SHA256

文獻

97043f23defd510607ff43201bb03b9916a23bd71b5bdf97db357e5026732506

SHA256

文獻

d617fd4b2d0824e1a7eb9693c6ec6e71447d501d24653a8e99face12136491a8

SHA256

文獻

7e3ab96d2628e0a9970802b47d0356dc9b99994d7f98492d4e70a5384891695a

SHA256

文獻

antowortensienicht @ bzst-infomieren [。] icu

域

欺騙傳送域

info @ agenziaentrate [。] icu

域

欺騙傳送域

antwortensienicht @ bzstinform [。] icu

域

欺騙傳送域

uspsdelivery-service [。[com

域

欺騙傳送域

hxxp：//198.50.168.67/wordpack.tmp

有效載荷

鈷擊

hxxp：//conbase.top/sys.bat

有效載荷

鈷擊

hxxp：//104.168.198.208/wordupd.tmp

有效載荷

迷宮勒索軟體

hxxp：//104.168.215.54/wordupd.tmp

有效載荷

迷宮勒索軟體

hxxp：//104.168.174.32/wordupd_3.0.1.tmp

有效載荷

迷宮勒索軟體

hxxp：//192.119.68.225/wordupd1.tmp

有效載荷

Buran勒索軟體

hxxp：//108.174.199.10/wordupd3.tmp

有效載荷

Buran勒索軟體

hxxp：//54.39.233.175/wupd19823.tmp

有效載荷

Buran勒索軟體

hxxp：//54.39.233.131/word1.tmp

有效載荷

Buran勒索軟體

hxxp：//104.168.198.230/wordupd.tmp

有效載荷

IcedID

參考：

https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us

微信搜尋關注紅數位

混跡安全圈，每日必看！