Trellix的高级研究中心发现了一项针对欧洲、非洲、中东、加拿大和南亚金融高管的高度针对性和隐秘的鱼叉式网络钓鱼活动。攻击者的目标?欺骗受害者在罗斯柴尔德公司(Rothschild&Co.)的职业机会的幌子下安装NetBird,这是一个合法的基于WireGuard的远程访问工具。
网络钓鱼操作将巧妙的社交工程与规避策略相结合,例如Firebase托管,基于JavaScript的自定义CAPTCHA和分阶段的VBS下载器,有效地绕过了许多标准电子邮件和网络防御。
最初的网络钓鱼电子邮件是精心制作的,以冒充罗斯柴尔德公司的招聘人员,并在财务领导方面提供了一个诱人的“战略机会”。而不是真正的PDF,附加的小册子是一个Firebase托管的网页伪装成一个文件。
“附加的’brochure’不是PDF,而是隐藏在数学测验自定义CAPTCHA后面的Firebase托管页面。
一旦受害者解决了CAPTCHA,它们就会被重定向到一个提供ZIP存档的网站——Rothschild_&_Co-6745763.zip——其中包含启动恶意软件安装链的VBS脚本。
执行后,VBS 脚本默默地下载一个辅助 VBS 有效载荷:
- 通过 MSI 文件安装 NetBird 和 OpenSSH。
- 创建一个隐藏的本地管理员帐户(用户/Bs@202122)。
- 启用 RDP 访问,配置防火墙规则,并将 NetBird 设置为自动启动。
- 删除桌面快捷方式以避免检测。
“该脚本创建一个隐藏的本地帐户……在打开防火墙时在远程桌面上翻转……并删除任何NetBird桌面快捷方式,”报告解释说。
这导致通过加密渠道进行持久性和远程访问,这是横向移动和潜在数据泄漏的理想立足点。
钓鱼页面托管在Firebase和其他Google托管的应用程序平台上,使它们看起来值得信赖。他们使用自定义的基于JavaScript的CAPTCHA,在用户交互时解密隐藏的重定向URL,绕过传统的检测机制。
“攻击者越来越依赖这些定制的CAPTCHA门,希望通过防御,”报告警告说。
Trellix指出,这些策略模仿或与以前的民族国家网络钓鱼操作重叠,尽管在撰写本文时尚未做出归因。
Trellix的研究人员发现,类似的基础设施在旧活动中重复使用。值得注意的是,一个模仿SharePoint的旧页面仍然提供相同的VBS有效载荷,这表明更广泛的操作可能重复使用工具包和托管设置。
“该页面仍然有效……它提供ZIP……存档会丢弃当前战役中看到的相同的VBS有效载荷,”报告指出。
法国的Autorité des marchés金融家(AMF)最近也警告过网络钓鱼攻击冒充该组织。Trellix证实国际奥委会与他们目前的发现重叠,尽管诱惑有所不同。
组织应监控 Firebase 和 WebApp 托管,仔细检查 CAPTCHA 行为,并阻止端点的可疑 MSI 和 VBS 执行流程。
发表评论
您还未登录,请先登录。
登录