HackerNews 编译,转载请注明出处:
网络安全研究人员警告称,一场新的鱼叉式钓鱼攻击活动正在利用名为 Netbird 的合法远程访问工具,针对欧洲、非洲、加拿大、中东和南亚地区的银行、能源公司、保险公司和投资公司的首席财务官(CFO)和财务高管。
“这似乎是一场多阶段的钓鱼行动,攻击者的目标是在受害者的计算机上部署 NetBird,一种基于 WireGuard 的合法远程访问工具,” Trellix 研究员 Srini Seethapathy 在一份分析报告中表示。该活动由该网络安全公司于 2025 年 5 月中旬首次发现,尚未归因于任何已知的威胁行为者或组织。
攻击的起点是一封冒充 Rothschild & Co 公司招聘人员的钓鱼邮件,声称提供该公司的“战略机会”。该邮件旨在诱使收件人打开一个声称是 PDF 附件的内容,实际上这是一个钓鱼链接,会将他们重定向到一个托管在 Firebase 应用上的 URL。
此次感染的一个显著特点是,真正的重定向 URL 以加密形式存储在页面中,只有在受害者通过验证码(CAPTCHA)验证检查后才能访问,最终导致下载一个 ZIP 压缩包。
“解决验证码谜题会执行一个 [JavaScript] 函数,该函数使用硬编码密钥对其进行解密,并将用户重定向到解密后的链接,” Seethapathy 说。“攻击者越来越依赖这些自定义的验证码关卡,希望能绕过那些已经标记了受 Cloudflare Turnstile 或 Google reCAPTCHA 保护的钓鱼网站的防御系统。”
压缩包中包含一个 Visual Basic 脚本(VBScript),负责从外部服务器检索下一阶段的 VBScript 并通过 “wscript.exe” 启动它。这个第二阶段的 VBScript 下载器随后从同一服务器获取另一个有效载荷,将其重命名为 “trm.zip”,并从中提取两个 MSI 文件:NetBird 和 OpenSSH。
最后阶段涉及在受感染主机上安装这两个程序、创建一个隐藏的本地账户、启用远程桌面访问,并通过计划任务(例如在系统重启时自动启动)使 NetBird 持久化。该恶意软件还会删除任何 NetBird 桌面快捷方式,以确保受害者无法发现入侵。
Trellix 表示,他们还识别出另一个活跃了近一年的重定向 URL,提供相同的 VBScript 有效载荷,表明该活动可能已存在一段时间。
这些发现再次表明,对手越来越依赖合法的远程访问应用程序(如 ConnectWise ScreenConnect、Atera、Splashtop、FleetDeck 和 LogMeIn Resolve)来建立持久性,并利用其深入受害者网络,同时规避检测。
“这次攻击并非典型的钓鱼骗局,” Seethapathy 说。“它精心设计、目标明确、手法隐蔽,旨在绕过技术和人员的防御。这是一个多阶段的攻击,对手利用社会工程学和防御规避技术来创建并维持对受害者系统的持久访问。”
该披露恰逢在野发现各种基于电子邮件的社交工程活动:
- 滥用与知名日本互联网服务提供商 (ISP) 关联的可信域名发送钓鱼邮件,邮件地址为 “company@nifty[.]com”,试图绕过电子邮件身份验证检查并窃取凭证。滥用 Google Apps Script 开发平台托管看似合法的钓鱼页面,通过发票主题的邮件诱饵窃取 Microsoft 登录凭证。模仿 Apple Pay 发票窃取敏感用户数据,包括信用卡详情和 Yahoo Mail 账户信息。滥用 Notion 工作区托管钓鱼页面,诱使用户点击链接,在查看共享文档的幌子下将受害者带到虚假的 Microsoft 登录页面,并通过 Telegram 机器人窃取凭证。利用 Microsoft Office 中一个存在多年的安全漏洞 (CVE-2017-11882) 来投递隐藏在虚假 PNG 文件中的 Formbook 恶意软件变种,并从受感染主机窃取敏感数据。
这些发现也出现在 Trustwave 详细说明 Tycoon 和 DadSec(又名 Phoenix)钓鱼工具包之间运营联系之际,强调了它们的基础设施重叠以及集中式钓鱼基础设施的使用。DadSec 是由 Microsoft 以代号 Storm-1575 追踪的威胁行为者的作品。
“DadSec 使用的基础设施也与一个利用 ‘Tycoon 2FA’ 钓鱼即服务 (PhaaS) 平台的新活动相关联,” Trustwave 研究人员 Cris Tomboc 和 King Orande 说。“对 Tycoon2FA 钓鱼工具包的调查揭示了对手如何在钓鱼即服务 (PhaaS) 生态系统中持续完善和扩展其策略。”
PhaaS 服务日益普及的证据是,出现了一个名为 Haozi 的新“即插即用”中文工具包。据估计,该工具包在过去五个月中通过向第三方服务销售广告,促成了价值超过 28 万美元的犯罪交易。它以每年 2000 美元的订阅费运营。
“与需要攻击者手动配置脚本或基础设施的传统钓鱼工具包不同,Haozi 提供了一个简洁的公共网络面板,” Netcraft 说。“一旦攻击者购买服务器并将其凭据输入面板,钓鱼软件就会自动设置,无需运行任何命令。”
“这种无摩擦的设置与其他 PhaaS 工具(如支持 AI 的 Darcula 套件)形成对比,后者仍需少量命令行操作。”
除了支持管理员面板(用户可以在一个地方管理所有活动)外,Haozi 还被发现提供广告位,充当中间人连接钓鱼工具包买家与第三方服务(例如与短信供应商相关的服务)。
Haozi 区别于其他工具包的另一个方面是,它有一个专门的售后 Telegram 频道 (@yuanbaoaichiyu),帮助客户调试问题和优化活动,这使其成为那些没有技术专长的网络犯罪新手的诱人选择。
“随着企业安全团队在检测和应对入侵尝试方面变得更加有效,攻击者正在部署社会工程学和钓鱼诈骗等策略,这些策略不需要突破加固的边界,” Netcraft 研究员 Harry Everett 说。
“PhaaS 产品通过自动化和社区支持降低了技能门槛并扩大了活动规模。这些新模式运作起来更像是 SaaS 企业而非黑市黑客组织,拥有订阅定价、客户服务和产品更新等全套服务。”
Microsoft 在上周发布的一份公告中进一步揭示了随着多因素身份验证 (MFA) 的普及,PhaaS 平台如何日益推动中间人攻击 (AiTM) 凭证钓鱼。
其他一些技术包括设备代码钓鱼;OAuth 同意钓鱼(威胁行为者利用开放授权 (OAuth) 协议发送包含第三方应用程序恶意同意链接的电子邮件);设备加入钓鱼(威胁行为者使用钓鱼链接诱骗目标授权其控制的设备加入域)。
这家 Windows 制造商表示,观察到疑似与俄罗斯有关的威胁行为者使用第三方应用程序消息或提及即将举行的会议邀请的电子邮件来投递包含有效授权码的恶意链接。设备加入钓鱼技术由 Volexity 在 2025 年 4 月首次记录。
“虽然最终用户和自动化安全措施在识别恶意钓鱼附件和链接方面都变得更有能力,但动机明确的威胁行为者继续依赖利用人类行为进行有说服力的诱骗,” Microsoft 身份部门企业副总裁兼副首席信息安全官 Igor Sakhnov 表示,“由于这些攻击依赖于欺骗用户,用户培训和了解常见的社会工程学技术是防御它们的关键。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
