關(guān)鍵詞

惡意軟件

一場復雜的網(wǎng)絡(luò)攻擊活動已經(jīng)出現(xiàn)，它采用雙重威脅方法，同時竊取 Microsoft Office 365 憑據(jù)并向毫無戒心的受害者發(fā)送惡意軟件。

這種混合攻擊始于偽裝成合法文件共享服務(wù)的文件刪除提醒的欺騙性電子郵件，營造出一種虛假的緊迫感，迫使用戶立即采取行動來保存所謂的重要文件。

此次攻擊巧妙地利用了用戶的信任，將合法的云存儲平臺 files.fm 作為其初始傳播機制。

收件人會收到有關(guān)即將刪除文件的警告，郵件主題行提及商業(yè)文件，促使他們點擊超鏈接的文檔名稱，這些鏈接會將他們引導至真實的 files.fm 頁面。

這種方式極大地提高了攻擊的可信度，因為在感染鏈的早期階段，用戶是在與一個真實的文件共享服務(wù)進行交互。

Cofense 網(wǎng)絡(luò)釣魚防御中心（PDC）的研究人員發(fā)現(xiàn)了這一攻擊活動，并指出了其特別陰險的 “二選一” 攻擊方式。

在下載并打開共享的 PDF 文件后，用戶會面臨兩個看似無害的選項：“預(yù)覽” 或 “下載”—— 而每個選項都會導致不同但同樣具有破壞性的后果。

這種分叉式的攻擊路徑通過提供多種入侵途徑，將攻擊成功率最大化。

當用戶選擇 “預(yù)覽” 時，憑據(jù)竊取組件就會啟動。這一操作會將受害者重定向到一個看似可信但實則欺詐的 Microsoft 登錄頁面，該頁面與真實的 Microsoft 登錄界面極為相似。

雖然該頁面具有人們熟悉的 Microsoft 品牌元素，但也包含一些細微的不一致之處，比如非 Microsoft 域名的網(wǎng)址。

然而，這些警示信號在當時往往會被忽視，當用戶嘗試進行身份驗證時，就會導致憑據(jù)被盜。

另一方面，選擇 “下載” 則會觸發(fā)偽裝成

“SecuredOneDrive.ClientSetup.exe” 的惡意軟件的安裝。

這個可執(zhí)行文件偽裝成合法的 Microsoft 軟件，而實際上會部署 ConnectWise 遠程訪問木馬（ConnectWise RAT），這是一種惡意工具，它利用合法的遠程管理軟件來實現(xiàn)未經(jīng)授權(quán)的系統(tǒng)訪問。

感染機制分析

正如 Cofense 報告中所記錄的那樣，感染鏈展示出了極高的技術(shù)復雜性。

一旦初始的 PDF 文件被打開，兩條攻擊路徑都會通過不同的方法導致系統(tǒng)完全被入侵。

PDF 文件本身就是一個極具說服力的誘餌文檔，它顯示出一個看似標準的文件預(yù)覽界面，帶有看似有用的操作按鈕。

當惡意軟件被執(zhí)行后，它會通過多種技術(shù)實現(xiàn)持續(xù)駐留。它會創(chuàng)建帶有自動啟動參數(shù)的系統(tǒng)服務(wù)，確保在系統(tǒng)重啟后仍能保持運行狀態(tài)。

此外，它還會修改 HKEY_LOCAL_MACHINE 下的 Windows 注冊表，將 “Start” 值設(shè)置為 “0x00000002”，以保證在系統(tǒng)啟動時自動啟動。

這些持續(xù)駐留機制使得安全團隊要徹底清除惡意軟件變得尤為困難。

該惡意軟件會連接到 “instance-i4zsy0relay.screenconnect.com:443”的命令與控制（C2）服務(wù)器，使遠程攻擊者能夠執(zhí)行命令、竊取數(shù)據(jù)，并有可能在被入侵的網(wǎng)絡(luò)中進行橫向移動。

對該惡意軟件的分析顯示，它是基于 ConnectWise Control（前身為 ScreenConnect）構(gòu)建的，而 ConnectWise Control 是一款合法的遠程管理工具，如今已被用于惡意活動。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！