MirrorBlast攻击行动锁定金融服务组织，透过Excel宏发动攻击

攻击者为了规避资安系统的侦测，可能会运用较为少见的程式语言，来编写指令码。例如，最近资安业者Morphisec揭露名为MirrorBlast的攻击行动，攻击者使用极为轻量化的恶意Excel宏，并借由钓鱼邮件来进行散布，目标是美国、加拿大、香港，以及欧洲等地的金融服务组织。

研究人员提到，骇客制作的恶意宏难以被防毒软件识别为有害，且攻击过程中，他们用于连线C2中继站的指令码，是透过Rebol和KiXtart程式语言编写而成。

至于这起攻击事件背后的骇客身份为何？研究人员认为，这是骇客组织TA505（亦称为Hive0065）所发起。这个组织最早约于2014年开始活动，其特色是用于发动攻击的恶意软件更换相当频繁，且在散布恶意软件的手法上，也相当跟得上全球攻击行动的趋势。

在过往TA505发动的攻击行动中，该组织曾在2019年散布RAT木马程式FlawedAmmyy，2020年透过HTML转址手法发动FlawedGrace木马程式攻击，而这些攻击事故中，台湾都是遭到锁定的目标。虽然Morphisec并未透露有多少电脑感染MirrorBlast，但这个骇客组织过往曾对台湾下手，其攻击行动还是相当值得我们留意。

究竟资安研究员如何发现MirrorBlast？Morphisec表示，他们最初是在9月，发现一起挟带恶意Excel档案的钓鱼邮件攻击，锁定美国、加拿大、香港，以及欧洲等地的多个行业。

而在这起攻击事件所使用的钓鱼邮件中，研究人员看到原本的Excel档案是以附件的方式挟带，但在后继的版本中，攻击者改以档案共用的方式，来引诱收信人下载档案，而这么做的目的，是为了规避资安系统的侦察──攻击者不只将档案存放于遭骇的SharePoint，或是假造的OneDrive网站，而下载连结的部分，也使用了Google Feedproxy的URL转址服务，来避免恶意网域遭到封锁。

一旦受害者信以为真下载了Excel档案并开启，便会触发恶意宏，执行JavaScript指令码，下载MSI安装档并执行。不过，研究人员指出，因为攻击者使用了ActiveX元件，所以这个宏只能在32位元的Office软件运作。此外，为了防范资安人员在沙箱环境触发，这个宏也会检查电脑和使用者的名称──电脑的名称是否与网域名称相同，而且使用者名称为Admin或Administrator的情况，而从攻击者在宏里使用的手法来看，多数沙箱环境似乎已有一套可被识破的共通规则，若是组织所使用的沙箱环境也具备上述配置条件，那么就可能被恶意程式以这样的方式破解。

究竟研究人员提到此宏极为“轻量”又是如何？根据研究人员截图所呈现的程式码，内容仅有15行，包含前述检查电脑名称和使用者名称的判断式，在确认是真实电脑环境之后，便会执行Script Control的指令。

上述由宏下载的MSI档案，主要有2种版本，主要的差异在于，会产生Rebol或KiXtart程式语言编写的指令码，来泄露受害电脑的敏感资讯，并向C2中继站连结。但有所不同的是，Rebol指令码收集的资料，包含了操作系统版本、使用者名称，以及电脑系统架构等；而KiXtart指令码则是锁定网域资讯、电脑名称，以及处理程序清单。

针对这次的MirrorBlast攻击行动，研究人员强调，在VirusTotal网站上，能识别这个恶意宏有害的防毒引擎并不多，组织如果只依赖静态的分析工具，很可能无法察觉这种攻击手法。对此，Morphisec也将持续追踪MirrorBlast的动态。