以色列网络安全公司 Perception Point 正在追踪名为“Operation PhantomBlu”的活动,这是一项新的网络钓鱼活动针对美国组织,旨在部署名为 NetSupport RAT 的远程访问木马。
安全研究员 Ariel Davidpur表示:“PhantomBlu 操作引入了一种微妙的利用方法,与 NetSupport RAT 的典型交付机制不同,它利用 OLE(对象链接和嵌入)模板操作,利用 Microsoft Office 文档模板执行恶意代码,同时逃避检测。 ”
NetSupport RAT 是合法远程桌面工具(称为 NetSupport Manager)的恶意分支,允许威胁参与者在受感染的端点上执行一系列数据收集操作。
起点是一封以薪资为主题的网络钓鱼电子邮件,该电子邮件自称来自会计部门,并敦促收件人打开随附的 Microsoft Word 文档以查看“月度薪资报告”。
对电子邮件标头(尤其是 Return-Path 和 Message-ID 字段)的仔细分析表明,攻击者使用名为 Brevo(以前称为 Sendinblue)的合法电子邮件营销平台来发送电子邮件。
Word 文档打开后,会指示受害者输入电子邮件正文中提供的密码并启用编辑,然后双击文档中嵌入的打印机图标以查看工资图表。
这样做会打开一个 ZIP 存档文件(“Chart20072007.zip”),其中包含一个 Windows 快捷方式文件,该文件充当 PowerShell 释放器,用于从远程服务器检索并执行 NetSupport RAT 二进制文件。
Davidpur 表示:“通过使用加密的 .docs 通过 OLE 模板和模板注入来提供 NetSupport RAT,PhantomBlu 标志着与 NetSupport RAT 部署通常相关的传统 TTP 的背离。”他补充道,更新后的技术“展示了 PhantomBlu 在融合复杂规避策略方面的创新”与社会工程。”
Resecurity 透露,威胁行为者越来越多地滥用 Dropbox、GitHub、IBM Cloud 和 Oracle Cloud Storage 等公共云服务,以及 Pinata 等基于星际文件系统 (IPFS) 协议构建的 Web 3.0 数据托管平台。使用现成的工具包生成完全无法检测 (FUD) 的网络钓鱼 URL。
BulletProofLink 、FUDLINKSHOP、FUDSENDER、ONNX 和 XPLOITRVERIFIER等地下供应商在 Telegram 上提供此类 FUD 链接,作为订阅模式的一部分,价格从每月 200 美元起。这些链接在反机器人屏障后面得到进一步保护,以过滤传入流量并逃避检测。
HeartSender 等工具也是对这些服务的补充,可以大规模分发生成的 FUD 链接。与 HeartSender 相关的Telegram 群组拥有近 13,000 名订阅者。
该公司表示:“FUD 链接代表了[网络钓鱼即服务]和恶意软件部署创新的下一步。”并指出攻击者正在“为恶意用例重新利用高信誉的基础设施”。
“最近的一次恶意活动利用了 Rhadamanthys Stealer 来针对石油和天然气行业,使用了一个嵌入式 URL,该 URL 利用了合法域(主要是 Google 地图和 Google 图片)上的开放重定向。这种域嵌套技术使恶意 URL 不那么引人注目,并且更有可能诱骗受害者。”
发表评论
您还未登录,请先登录。
登录