攻击者为了规避安全系统的侦测,可能会运用较为少见的程序语言,来编写脚本。例如,最近安全企业Morphisec披露名为MirrorBlast的攻击行动,攻击者使用极为轻量化的恶意Excel宏,并借由钓鱼邮件来进行传播,目标是美国、加拿大、香港,以及欧洲等地的金融服务组织。
研究人员提到,黑定制作的恶意宏难以被杀毒软件识别为有害,且攻击过程中,他们用于连接C2中继站的脚本,是通过Rebol和KiXtart程序语言编写而成。
至于这起攻击事件背后的黑客身份为何?研究人员认为,这是黑客组织TA505(也称为Hive0065)所发起。这个组织最早约于2014年开始活动,其特色是用于发动攻击的恶意软件更换相当频繁,且在传播恶意软件的手法上,也相当跟得上全球攻击行动的趋势。
在以往TA505发动的攻击行动中,该组织曾在2019年传播RAT木马程序FlawedAmmyy,2020年通过HTML转址手法发动FlawedGrace木马程序攻击,而这些攻击事故中,台湾都是遭到锁定的目标。虽然Morphisec并未透露有多少计算机感染MirrorBlast,但这个黑客组织以往曾对台湾下手,其攻击行动还是相当值得我们留意。
究竟安全研究员如何发现MirrorBlast?Morphisec表示,他们最初是在9月,发现一起挟带恶意Excel文件的钓鱼邮件攻击,锁定美国、加拿大、香港,以及欧洲等地的多个行业。
而在这起攻击事件所使用的钓鱼邮件中,研究人员看到原本的Excel文件是以附件的方式挟带,但在后继的版本中,攻击者改以文件共享的方式,来引诱收信人下载文件,而这么做的目的,是为了规避安全系统的侦察──攻击者不只将文件存放于遭黑的SharePoint,或是假造的OneDrive网站,而下载连接的部分,也使用了Google Feedproxy的URL转址服务,来避免恶意域名遭到封锁。
一旦受害者信以为真下载了Excel文件并打开,便会触发恶意宏,执行JavaScript脚本,下载MSI安装档并执行。不过,研究人员指出,因为攻击者使用了ActiveX组件,所以这个宏只能在32位元的Office软件运行。此外,为了防范安全人员在沙箱环境触发,这个宏也会检查计算机和用户的名称──计算机的名称是否与域名名称相同,而且用户名为Admin或Administrator的情况,而从攻击者在宏里使用的手法来看,多数沙箱环境似乎已有一套可被识破的公用规则,若是组织所使用的沙箱环境也具备上述配置条件,那么就可能被恶意程序以这样的方式破解。
究竟研究人员提到此宏极为“轻量”又是如何?根据研究人员截屏所呈现的程序代码,内容仅有15行,包含前述检查计算机名称和用户名的判断式,在确认是真实计算机环境之后,便会执行Script Control的指令。
上述由宏下载的MSI文件,主要有2种版本,主要的差异在于,会产生Rebol或KiXtart程序语言编写的脚本,来泄露受害计算机的敏感信息,并向C2中继站连接。但有所不同的是,Rebol脚本收集的资料,包含了操作系统版本、用户名,以及计算机系统架构等;而KiXtart脚本则是锁定域名信息、计算机名称,以及处理程序清单。
针对这次的MirrorBlast攻击行动,研究人员强调,在VirusTotal网站上,能识别这个恶意宏有害的杀毒引擎并不多,组织如果只依赖静态的分析工具,很可能无法发现这种攻击手法。对此,Morphisec也将持续关注MirrorBlast的动态。