一项新的网络钓鱼活动针对美国组织,目的是部署名为NetSupport RAT的远程访问木马。
以色列网络安全公司 Perception Point 正在跟踪绰号为 Operation PhantomBlu 的活动。
“PhantomBlu操作引入了一种细致入微的利用方法,通过利用OLE(对象链接和嵌入)模板操作,利用Microsoft Office文档模板执行恶意代码,同时逃避检测,与NetSupport RAT的典型交付机制不同,”安全研究员Ariel Davidpur说。
NetSupport RAT 是称为 NetSupport Manager 的合法远程桌面工具的恶意分支,允许威胁行为者在受感染的端点上执行一系列数据收集操作。
起点是一封以薪水为主题的网络钓鱼电子邮件,声称来自会计部门,并敦促收件人打开随附的 Microsoft Word 文档以查看“月度工资报告”。
对电子邮件标题(尤其是 Return-Path 和 Message-ID 字段)的仔细分析表明,攻击者使用名为 Brevo(以前称为 Sendinblue)的合法电子邮件营销平台来发送电子邮件。
打开 Word 文档后,指示受害者输入电子邮件正文中提供的密码并启用编辑,然后双击文档中嵌入的打印机图标以查看工资图表。
这样做会打开一个 ZIP 存档文件 (“Chart20072007.zip”),其中包含一个 Windows 快捷方式文件,该文件充当 PowerShell dropper,用于从远程服务器检索和执行 NetSupport RAT 二进制文件。
“通过使用加密的 .docs 通过 OLE 模板和模板注入提供 NetSupport RAT,PhantomBlu 标志着与通常与 NetSupport RAT 部署相关的传统 TTP 的背离,”Davidpur 说,并补充说更新的技术“展示了 PhantomBlu 在将复杂的规避策略与社会工程相结合方面的创新。
云平台和流行 CDN 的滥用日益增加#
Resecurity透露,威胁行为者越来越多地滥用Dropbox、GitHub、IBM Cloud和Oracle Cloud Storage等公共云服务,以及基于星际文件系统(IPFS)协议构建的Web 3.0数据托管平台,如Pinata,以使用现成的工具包生成完全无法检测的(FUD)网络钓鱼URL。
作为订阅模式的一部分,BulletProofLink、FUDLINKSHOP、FUDSENDER、ONNX 和 XPLOITRVERIFIER 等地下供应商在 Telegram 上提供此类 FUD 链接,起价为每月 200 美元。这些链路被进一步保护在反机器人屏障后面,以过滤传入的流量并逃避检测。
此外,HeartSender 等工具也是对这些服务的补充,这些工具可以大规模分发生成的 FUD 链接。与 HeartSender 相关的 Telegram 群组拥有近 13,000 名订阅者。
“FUD Links代表了[网络钓鱼即服务]和恶意软件部署创新的下一步,”该公司表示,并指出攻击者正在“将高声誉的基础设施重新用于恶意用例”。
“最近的一次恶意活动利用 Rhadamanthys Stealer 针对石油和天然气行业,使用嵌入式 URL 利用合法域(主要是 Google 地图和 Google 图片)上的开放重定向。这种域嵌套技术使恶意 URL 不那么引人注目,更有可能诱捕受害者。
来源:【https://thehackernews.com/】
原文始发于微信公众号(船山信安):新的网络钓鱼攻击使用聪明的 Microsoft Office 技巧来部署 NetSupport RAT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论