安全研究人员近期发现一项新型恶意软件攻击活动,攻击者伪装成企业内部 IT 支持人员,针对金融与医疗行业员工实施定向入侵。
攻击者在取得初步访问后,会部署一款名为 A0Backdoor 的新型隐秘后门。
BlueVoyant 网络安全研究团队确认,该攻击由 Blitz Brigantine(又称 Storm‑1811) 组织实施,其通过邮件炸弹轰炸与微软 Teams 聊天消息组合诱骗受害者开放远程控制权限。
基于 Teams 与 Quick Assist 的完整攻击链
攻击以大规模垃圾邮件轰炸受害者邮箱为开端。
邮件轰炸开始后不久,黑客立即通过微软 Teams 联系受害者,伪装成公司 IT 客服,声称可协助解决当前的邮件异常问题。
攻击者诱导受害者打开 Windows 自带远程工具 Quick Assist,从而瞬间获得设备完全控制权。
在拿到远程访问权限后,攻击者随即下载恶意安装包,这些文件高度伪装成微软 Teams 与 Phone Link 的合法更新程序。
为让文件看起来完全可信,黑客将其托管在个人微软云存储账号中,并使用数字证书进行签名。
安装程序运行后,会将一个正常的微软程序,与名为 hostfxr.dll 的恶意伪造文件放在一起。
当正常程序启动时,会在无感知情况下加载恶意文件,这一隐秘攻击手法被称为 DLL 侧加载。
该伪造文件是一个加壳强度极高的恶意加载器,可阻止安全工具对其进行分析。
- 它通过反沙箱技术检查设备固件,识别 QEMU 等虚拟测试环境。
- 同时创建大量垃圾线程,专门用于使调试软件崩溃。
更特殊的是,该加载器使用自定义时间算法解锁真实载荷。
恶意代码仅在特定 55 小时时间窗口内才能成功解密。
此外,黑客会在命令行末尾插入一个不可见空格字符。
恶意软件必须匹配该隐藏字符,才能生成正确密钥,解锁最终病毒体。
这一设计让安全研究人员在事后极难复现攻击与分析代码。
A0Backdoor 后门与 DNS 隐秘通信战术
在通过所有自检后,恶意软件会将 A0Backdoor 写入内存。该后门用于窃取信息并维持长期控制。
后门会立即采集设备信息,包括用户名与系统硬件信息,方便攻击者精准识别受害者。
为在不触发告警的情况下与攻击者通信,A0Backdoor 采用了 DNS 隧道这一隐蔽通信技术。
malware 不会直接连接可疑的黑客控制服务器,而是向可信公共 DNS 解析器发送请求,例如
1.1.1.1 或 8.8.8.8。它将隐藏信息伪装成邮件交换记录查询(MX 查询),这类请求通常用于服务器正常邮件路由。
攻击者将窃取的数据与恶意指令隐藏在超长、复杂的子域名中。
公共解析器会将请求转发至黑客隐藏服务器,并将加密响应返回给受感染设备。
由于流量全程经过可信公共服务器,且外观与企业常规邮件路由完全一致,可轻易混入正常流量中不被发现。
黑客还刻意使用早年注册的旧域名,而非全新注册域名,以此绕过安全设备对新注册域名的自动拦截规则。
此次攻击标志着 Blitz Brigantine 组织战术的重大转变,其已放弃传统勒索软件模式,转向高度定制化的隐秘攻击。
专家强烈建议企业:
- 加强员工培训,严格核验所有来自 Teams 的 IT 支持请求
- 监控并限制 Quick Assist 等远程工具的使用
- 拦截未授权的安装包,防范此类高危害入侵
发表评论
您还未登录,请先登录。
登录