又到一年报税季，TA2101对德意美三国广撒网钓鱼

概述

Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件，波及德国、意大利和美国三个国家，所有事件均由TA2101所为，其手法是假冒当地的大型公司或政府机构，为目标群体发送钓鱼邮件，并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业，但偏重于商业、IT服务、制造业以及医疗保健行业的人群。

Case 1：德国

2019年10月16日至23日，Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件，其附件带有恶意Microsoft Word文档，内容是要求收件人提交退还税款的申请（使用附件表单），并在三天内进行处理。这些邮件批量小，主要针对IT服务公司。

图1：钓鱼邮件示例

Microsoft Word附件打开后，将自动执行Microsoft Office宏，进而执行PowerShell脚本，再将Maze勒索软件payload下载并安装到用户系统上。

图2：PowerShell脚本稍后将下载Cobalt Strike

TA2101选择使用Cobalt Strike，这是一款获得商业许可的软件工具，通常用于渗透测试，该产品将自己描述为“敌方模拟软件，旨在执行有针对性的攻击和模拟高级威胁行动者的后利用行为”，并用于组织保护其环境。虽然它作为一种仿真工具在被广泛合法地使用，但各类威胁组织还是可以将它作为恶意工具来使用，如Cobalt Group、APT32和APT19。

11月6月和11月7日，攻击者又分别冒充了德国财政部和德国互联网服务提供商1&1 Internet AG再次向目标企业发起钓鱼攻击。

Case 2：意大利

针对意大利的钓鱼行动跟德国大体一致，不过这次冒充的对象变成了意大利税务部，主要面向制造业公司。

图3：针对意大利的钓鱼邮件示例

Case 3：美国

11月12日，Proofpoint再次观察到数千封电子钓鱼邮件，这次冒充了美国邮政服务（USPS）并分发了IcedID银行木马，面向医疗保健行业。

图4：PowerShell脚本将IcedID下载并安装到受害者的系统

结论

与财务税收相关的网络钓鱼活动呈现季节性上升趋势，往往集中在各个地区年度纳税申报截止日期之前。攻击者还聪明地利用了模仿对象的邮件格式、域名、品牌logo等，让用户防不胜防，另外邮件数量不多也能表明，现在攻击者在钓鱼活动可能更注重效率而非数量。

注：本文翻译自：https://www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us