新网络钓鱼攻击利用 Microsoft Office 来部署 NetSupport RAT

阅读量34833

发布时间 : 2024-03-20 10:49:08

网络支持RAT

以色列网络安全公司 Perception Point 正在追踪名为“Operation PhantomBlu”的活动,这是一项新的网络钓鱼活动针对美国组织,旨在部署名为 NetSupport RAT 的远程访问木马。

安全研究员 Ariel Davidpur表示:“PhantomBlu 操作引入了一种微妙的利用方法,与 NetSupport RAT 的典型交付机制不同,它利用 OLE(对象链接和嵌入)模板操作,利用 Microsoft Office 文档模板执行恶意代码,同时逃避检测。 ”

NetSupport RAT 是合法远程桌面工具(称为 NetSupport Manager)的恶意分支,允许威胁参与者在受感染的端点上执行一系列数据收集操作。

起点是一封以薪资为主题的网络钓鱼电子邮件,该电子邮件自称来自会计部门,并敦促收件人打开随附的 Microsoft Word 文档以查看“月度薪资报告”。

对电子邮件标头(尤其是 Return-Path 和 Message-ID 字段)的仔细分析表明,攻击者使用名为 Brevo(以前称为 Sendinblue)的合法电子邮件营销平台来发送电子邮件。

Word 文档打开后,会指示受害者输入电子邮件正文中提供的密码并启用编辑,然后双击文档中嵌入的打印机图标以查看工资图表。

微软办公软件

这样做会打开一个 ZIP 存档文件(“Chart20072007.zip”),其中包含一个 Windows 快捷方式文件,该文件充当 PowerShell 释放器,用于从远程服务器检索并执行 NetSupport RAT 二进制文件。

Davidpur 表示:“通过使用加密的 .docs 通过 OLE 模板和模板注入来提供 NetSupport RAT,PhantomBlu 标志着与 NetSupport RAT 部署通常相关的传统 TTP 的背离。”他补充道,更新后的技术“展示了 PhantomBlu 在融合复杂规避策略方面的创新”与社会工程。”

Resecurity 透露,威胁行为者越来越多地滥用 Dropbox、GitHub、IBM Cloud 和 Oracle Cloud Storage 等公共云服务,以及 Pinata 等基于星际文件系统 (IPFS) 协议构建的 Web 3.0 数据托管平台。使用现成的工具包生成完全无法检测 (FUD) 的网络钓鱼 URL。

BulletProofLink 、FUDLINKSHOP、FUDSENDER、ONNX 和 XPLOITRVERIFIER等地下供应商在 Telegram 上提供此类 FUD 链接,作为订阅模式的一部分,价格从每月 200 美元起。这些链接在反机器人屏障后面得到进一步保护,以过滤传入流量并逃避检测。

HeartSender 等工具也是对这些服务的补充,可以大规模分发生成的 FUD 链接。与 HeartSender 相关的Telegram 群组拥有近 13,000 名订阅者。

该公司表示:“FUD 链接代表了[网络钓鱼即服务]和恶意软件部署创新的下一步。”并指出攻击者正在“为恶意用例重新利用高信誉的基础设施”。

“最近的一次恶意活动利用了 Rhadamanthys Stealer 来针对石油和天然气行业,使用了一个嵌入式 URL,该 URL 利用了合法域(主要是 Google 地图和 Google 图片)上的开放重定向。这种域嵌套技术使恶意 URL 不那么引人注目,并且更有可能诱骗受害者。”

本文转载自: https://thehackernews.com/2024/03/new-phishing-attack-uses-clever.html

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66