Opsporen en voorkomen van een TA551 e-mail spamaanval

De aanhoudende golf van TA551-spamaanvallen - ook bekend als de Shathak-dreigingscampagne - heeft aanbieders van e-mailbeveiliging voor een aantal bijzonder vervelende uitdagingen gesteld.

TA551 is een op e-mail gebaseerde malware-distributieregeling die zich met name richt op Engelstaligen, maar ook op mensen die Japans, Italiaans, Duits en enkele andere talen spreken. Voor het eerst waargenomen in eind 2019, probeert een TA551-aanval meerdere soorten malware te implanteren, waaronder Ursnif, IcedID en Valak. Dit zijn trojans en malware loaders die worden gebruikt om bankgegevens te extraheren, en veel van de activiteit van de TA551-daders is geconcentreerd in de financiële sector.

Typisch voor dit soort campagnes nam het dreigingsniveau in januari enigszins af naarmate de bedrijfsactiviteit afnam aan het begin van het nieuwe jaar. Gedurende de hele maand december detecteerde het Mimecast Threat Center tussen de 2.000 en 7.000 e-mails per dag die voldeden aan de kenmerken van de TA551-invasies. Hoewel de identiteit van de aanvallers en de volledige omvang van hun motieven onbekend zijn, lijkt de sterk gefocuste en consistente aard van de spoofing het werk te zijn van professionele spammers die ongetwijfeld over uitgebreide middelen beschikken.

Waarom de TA551 dreiging zo verraderlijk is

Wat deze e-mailspamcampagne zo verraderlijk maakt, is de kameleonachtige aard van de bedreiging. Geen twee aanvallen zijn identiek en de e-mails worden samengesteld uit gestolen inhoud, waardoor ze zowel relevant als legitiem lijken voor hun beoogde slachtoffers.

Dit is hoe het werkt:

• Een e-mail met een Zip-bestand als bijlage wordt door de spammers verstuurd. Het bestand bestaat uit een MS Word document, of iets vergelijkbaars, en is geïnfecteerd met malware in de vorm van macro's. Eenmaal geopend door de ontvanger, worden de macro's uitgevoerd en infecteren ze het apparaat van de gebruiker.
• De Zip-bestanden zijn beveiligd met een wachtwoord, wat het veel moeilijker maakt ze te scannen met antivirussoftware. De wachtwoorden zijn gerandomiseerd en verschillen van e-mail tot e-mail.

De ontvanger ontvangt het wachtwoord in de body van de e-mail. Hier is een real-life voorbeeld van hoe er een leest: "Hallo. Hier is de belangrijke informatie voor u. Zie de bijlage bij de e-mail. Wachtwoord 1636721."

• Veel van de bijgevoegde bestanden zijn genoemd naar het doelbedrijf. Dus, bijvoorbeeld, voor XYZ Co., zou de bestandsnaam "XYZ.zip" zijn. Hierdoor komt de e-mail geloofwaardiger over bij de ontvanger.
• De spammers gebruiken gestolen SMTP-gegevens om de e-mail te verzenden, zodat het lijkt alsof deze van een legitieme bron afkomstig is. Dit maakt opsporing op basis van infrastructuurparameters ook vrij moeilijk, aangezien alle e-mails van legitieme providers afkomstig lijken te zijn.
• Gezien de enorme middelen waarover zij lijken te beschikken, hoeven de daders nooit iets te hergebruiken - waardoor de e-mails gemakkelijker te herkennen zouden zijn. Ze lijken de capaciteit te hebben om steeds een nieuwe reeks referenties, een nieuw e-mailadres, nieuwe inhoud enzovoort te gebruiken.
• De e-mails zijn contextbewust. De onderwerpregel, de inhoud en de inhoud van de bijgevoegde bestanden komen allemaal overeen met het bedrijf, de functie en de professionele contacten van de ontvanger. Ze kunnen ook verwijzen naar recente projecten waarbij het beoogde slachtoffer betrokken is.

Als je dit allemaal bij elkaar optelt - het gebruik van gecompromitteerde referenties; het meeliften op de namen en geloofwaardigheid van de doelbedrijven; de contextbewuste e-mails die worden samengesteld uit gestolen informatie - wordt het duidelijk waarom de werknemers van zoveel bedrijven zijn misleid tot het openen van deze malware-bijlagen. Er is niets aan de e-mails of hun inhoud dat de ontvanger waarschuwt dat er iets mis is, waardoor het heel gemakkelijk wordt om in de val van de spammers te trappen.

De strategie van Mimecast om TA551 te verslaan

De dreigingsdeskundigen van Mimecast hebben de TA551-campagne nu grondig geanalyseerd (voor een diepere duik in wat we hebben gevonden, zie onze recente whitepaper, TA551/Shathak Threat Research ) en hebben een tweeledige strategie ontwikkeld om de campagne te verslaan met behulp van een combinatie van detectietechnieken op onze antivirus- en antispamlagen.

De kern van de zaak

TA551/Shathak is een verraderlijke, op e-mail gebaseerde spamcampagne om bedrijfsnetwerken in gevaar te brengen. De e-mails en de met malware geladen bijlagen zijn bestand tegen nauwkeurige inspectie en zijn bijzonder moeilijk op te sporen. Als reactie hierop heeft Mimecast deze bedreiging nauwkeurig geanalyseerd, waardoor we antivirussoftware en geavanceerde detectiemogelijkheden hebben kunnen ontwikkelen die in staat zijn om deze te verslaan.