社会工程、邮件钓鱼、电话诈骗三管齐下--新型网络攻击BazaCall强势来袭

微软研究人员在7月29日发布的一份博客文章指出，一种勒索软件攻击新方式正在流行，利用虚假的呼叫中心诱使受害者下载恶意软件，可能比之前认为的更危险。由于恶意软件并不存在于邮件本身的链接或文档中，这种骗局有助于攻击者绕过一些网络钓鱼和恶意软件检测服务。

今年2月，帕洛阿尔托网络公司(Palo Alto Networks)的研究人员首先注意到了这个名为“bazcall”(BazarCall)的活动。

今年5月微软首次发现并对其进行调查，攻击者伪装成订阅服务提供商，引诱受害者使用手机取消一项不存在的订阅。一旦接通呼叫中心，工作人员就会指导他们将恶意软件下载到电脑上。

研究人员现在表示，这种恶意软件不仅像之前认为的那样，让黑客可以通过一次性的后门进入设备，而且还可以远程控制受影响的系统。犯罪分子通过电子邮件引诱目标，暗示某种服务的订阅即将到期，比如健身会员。最近的活动已经变为软件许可的确认收据。传统的恶意软件可能会引导用户打开邮件中的链接或下载附件。bazcall的不同之处在于，每封电子邮件都包含一个唯一的ID号码，并指示用户拨打一个电话号码，将他们与真人联系起来。呼叫代理指示他们访问一个看起来合法的网站，并告诉他们从帐户页面下载一个文件来取消订阅。一旦用户在下载的文档上启用宏，恶意软件就会从Cobalt Strike信标发送。该工具是为合法目的而设计的，使用它可以帮助掩盖恶意活动。

微软的报告称，虽然这样的行动需要黑客掌握更多社会工程技术，但这种投递方式使垃圾邮件和钓鱼邮件检测软件基本失效。这可能使该方法成为试图绕过日益严格审查的勒索软件行动者的强大工具。

 攻击流程概述

微软在7月29日的博客中表示，对BazaCall活动的持续调查，即那些使用欺诈性呼叫中心诱骗毫无戒心的用户下载BazaLoader恶意软件的活动，表明这种威胁比其他安全博客中公开讨论和媒体报道的威胁更危险。除了具有后门功能外，来自这些活动的BazaLoader负载还为远程攻击者提供了对受影响用户设备的手动键盘控制，从而实现了快速的网络攻击。根据我们的观察，源自 BazaCall 威胁的攻击可以在网络内快速移动，进行广泛的数据泄露和凭据盗窃，并在初始入侵后的48 小时内分发勒索软件。

BazaCall活动放弃电子邮件中的恶意链接或附件，转而使用诱导受害者拨打的电话号码。这是一种让人联想到网络钓鱼和技术支持诈骗的技术，其中潜在的受害者被攻击者冷呼叫，但在BazaCall的情况下，目标用户必须拨打该号码。当他们这样做时，用户会与线路另一端的实际人员联系起来，然后他们提供将恶意软件安装到他们的设备中的步骤说明。因此，BazaCall活动需要与人类和社会工程策略的直接电话沟通才能取得成功。此外，投递方法中没有明显的恶意元素可能会使垃圾邮件和网络钓鱼电子邮件检测的传统方法无效。

图1 典型的 BazaCall 攻击流程，从垃圾邮件到社会工程，

再到正在下载的有效负载和手动键盘攻击

通过上述手动键盘控制，在BazaCall的攻击链中使用另一种人为因素，进一步使这种威胁比传统的自动化恶意软件攻击更危险、更容易躲避。BazaCall活动强调了跨域可见的重要性以及关联事件在构建针对复杂威胁的全面防御方面的能力。

言精心设计的诱骗邮件

BazaCall的活动从一封电子邮件开始，利用各种社会工程诱饵诱使目标收件人拨打一个电话号码。例如，电子邮件通知用户一个假定的到期的试用订阅，他们的信用卡将很快自动收取订阅的高级版本的费用。该活动中的每一波邮件都使用了不同的订阅“主题”，这些订阅主题本应到期，比如照片编辑服务或烹饪和食谱网站会员资格。在最近的一次活动中，电子邮件取消了订阅试用的角度，取而代之的是作为购买软件许可的确认收据。

与典型的垃圾邮件和钓鱼邮件不同，BazaCall的邮件正文中没有用户必须点击或打开的链接或附件。相反，如果用户有问题或担忧，它会指示用户拨打电话号码。缺乏典型的恶意元素——链接或附件——增加了检测和搜索这些电子邮件的难度。此外，如果用户接受过严格的训练，避免典型的网络钓鱼和恶意邮件，但没有学会警惕社会工程技术，那么电子邮件内容的信息传递也可能增加一种合法性的氛围。

图2 这是一封典型的bazcall电子邮件，声称用户的照片编辑服务试用期即将到期，并将自动收取费用。提供虚假的客户服务号码，帮助取消订阅

bazcall的每一封邮件都来自不同的发件人，通常使用免费的电子邮件服务和可能被泄露的电子邮件地址。电子邮件中的诱饵使用与真实企业名称相似的假企业名称。然后，收件人在网上搜索该公司名称，以检查电子邮件的合法性，可能会被误导，认为这样的公司存在，他们收到的信息是有价值的。

下面列出了一些示例主题行。它们每个都有一个唯一的“账号”，由攻击者创建，用来识别收件人:

• 很快你就会成为高级会员，因为演示期即将结束。个人身份证:KT[唯一身份证号码]
• 自动高级会员续签通知GW[唯一ID号]
• 你的演示阶段差不多结束了。您的用户账号VC[唯一ID号码]。一切都准备好了吗?
• 通知一处废弃的交通事故现场!一定要找经理![电子邮件正文包含唯一ID号码]
• 感谢你决定成为BooyaFitness的会员。健身计划从来没有这么简单过[电子邮件正文包含唯一的ID号]
• 您的订阅将更改为黄金会员，因为试验即将结束。订单:KT[唯一身份证号]
• 你的自由时间快结束了。您的会员账号VC[唯一身份证号]。准备好继续前进了吗?
• 谢谢你得到WinRAR pro计划。您的订单号是WR[唯一标识号]。
• 非常感谢您选择WinRAR。您需要查看您的许可证信息[电子邮件正文包含唯一ID号]

虽然观察到的大多数活动的主题行都包含类似的关键字和偶尔的表情符号，但每一个都是独特的，因为它包含特定于收件人的字母数字序列。这个序列总是以用户ID或交易代码的形式呈现，但它实际上是攻击者识别接收方并跟踪后者对活动的响应的一种方法。唯一标识号的模式大致相同，可以用正则表达式表示，如L0123456789、KT01234567891。

 诱导执行恶意代码

如果目标收件人决定拨打电子邮件中显示的电话号码，他们将与bazcall运营商设立的欺诈性呼叫中心的真人通话。呼叫中心代理充当下一阶段攻击的通道:在他们的对话期间，代理告诉调用者，他们可以帮助取消假定的订阅或事务。为此，代理要求来电者访问一个网站。

这些网站被设计得看起来像合法的企业，其中一些甚至假冒真实的公司。然而，我们注意到，一些域名并不总是与电子邮件中包含的虚拟企业的名称相匹配。例如，一封声称用户“Pre Pear Cooking”的免费试用即将到期的电子邮件，就与域名“topcooks[.]us”配对。bazcall活动中使用的网站截图。

图3 bazcall活动中使用的样本网站。它模仿了一个真正的食谱网站，但受到了攻击者的控制

然后呼叫中心代理指示用户导航到帐户页面并下载文件以取消订阅。该文件是一个启用宏的Excel文档，其名称如“cancel_sub_[惟一ID号].xlsb”。请注意，在某些情况下，研究人员观察到，即使启用了Microsoft Defender SmartScreen等安全过滤器，用户也会故意绕过它来下载文件，这表明呼叫中心代理可能会指示用户绕过安全协议，他们威胁说，如果他们不这样做，他们的信用卡就会被扣款。这再次证明了BazaCall攻击中使用的社交工程策略的有效性。

下载的Excel文件显示一个虚假的通知，说它受到Microsoft Office的保护。然后，呼叫中心代理指示用户单击按钮，使编辑和内容(宏)能够查看电子表格的内容。如果用户启用宏，则BazaLoader恶意软件将被发送到设备。从BazaCall活动使用的网站下载Excel文件的截图。

图4 攻击者使用的Excel文档，提示用户启用恶意代码

 关键数据窃取过程

在Excel文档中启用的宏会在%programdata%文件夹中创建一个随机字符串命名的新文件夹。然后，它从System文件夹中复制certutil.exe，一个已知的本地二进制文件(LOLBin)，并将certutil.exe的拷贝放到新创建的文件夹中，作为一种防御规避的手段。最后，对certutil.exe的副本进行重命名，以匹配文件夹名称中的随机字符串。

然后宏使用新命名的certutil.exe副本连接到攻击者的基础设施并下载BazaLoader。下载的有效载荷是一个恶意的动态链接库(.dll)，由rundll32.exe加载。Rundll32然后注入一个合法的MsEdge.exe进程连接到BazaLoader命令和控制(C2)，并通过使用Edge在Startup文件夹中创建一个.lnk(快捷方式)文件来建立持久性。MsEdge.exe还可用于侦察、收集系统和用户信息、网络中的域和域信任。

rundll32.exe进程检索一个Cobalt Strike信标，使攻击者能够用手对键盘控制设备。现在通过直接访问，攻击者对网络进行侦察，搜索本地管理员和高权限域管理员帐户信息。

攻击者还使用ADFind进行进一步的广泛侦察，ADFind是一种免费的命令行工具，用于发现活动目录。通常，从这种侦察中收集的信息被保存到一个文本文件中，并由攻击者使用命令提示符中的“Type”命令查看。

一旦攻击者在网络上建立了目标设备列表，他们就会使用Cobalt Strike定制的内置PsExec功能横向移动到目标设备。攻击者登陆的每个设备都与Cobalt Strike C2服务器建立连接。此外，某些设备还被用来进行额外的侦察，下载旨在窃取浏览器口令的开源工具。在某些情况下，攻击者还使用WMIC横向移动到高价值目标，如域控制器。

当攻击者落在选定的高价值目标上时，他们使用7-Zip来保存知识产权以便外逃。归档文件以它们所包含的数据类型命名，比如IT信息，或者关于安全操作、财务和预算的信息，以及特定于每个目标行业的细节。然后，攻击者使用开源工具的重命名版本RClone，将这些档案转移到攻击者控制的域。显示从BazaCall活动感染BazaLoader后攻击者活动的图表。

图5 目标上的后续攻击活动，包括数据渗漏和勒索软件

最后，在域控制器上，攻击者使用ntdsutil .exe(通常用于创建和维护Active Directory数据库的合法工具)来创建NTDS的副本。dit活动目录数据库，在%programdata%或%temp%文件夹中，用于后续的导出。被忽略的。Dit包含域内所有用户的用户信息和密码哈希。

在某些情况下，数据外泄似乎是攻击的主要目标，这通常是为未来的活动做准备。然而，在其他情况下，攻击者在执行上述活动后部署勒索软件。在那些被投放勒索软件的案例中，攻击者使用高特权账户，结合Cobalt Strike的PsExec功能，将Ryuk或Conti勒索软件载荷投放到网络设备上

 基于跨域可见性和威胁情报的bazcall攻击检测

虽然许多网络安全威胁依赖于自动的、由战术驱动(例如，利用系统漏洞来丢弃恶意软件或损害合法网站进行水坑攻击)或开发先进的检测逃避方法，但攻击者继续在攻击中发现社会工程和人际互动方面的成功。bazcall的活动将其发送的电子邮件中的链接和附件替换为电话号码，这给检测带来了挑战，尤其是传统的反垃圾邮件和反钓鱼解决方案对这些恶意指标的检测。

BazaCall的电子邮件中缺乏典型的恶意元素，其运营商发起攻击的速度之快，证明了如今企业面临的威胁越来越复杂，越来越难以躲避。Microsoft 365 Defender提供了跨域可见性和协同防御，以保护客户免受此类威胁。鉴于BazaCall的独特特性，跨端点和电子邮件关联事件的能力对它来说至关重要。Microsoft Defender for Endpoint检测植入物如BazaLoader和Cobalt Strike，有效载荷如Conti和Ryuk，以及随后的攻击行为。这些端点信号与电子邮件威胁数据相关，通知Microsoft Defender for Office 365阻止BazaCall电子邮件，即使这些电子邮件没有典型的恶意构件。

Microsoft 365 Defender进一步使组织能够通过丰富的调查工具(如高级狩猎)来防御这种威胁，允许安全团队定位相关或类似的活动并无缝地解决它们。

参考资源 

1、https://www.cyberscoop.com/criminals-call-centers-ransomware-microsoft/

2、https://www.microsoft.com/security/blog/2021/07/29/bazacall-phony-call-centers-lead-to-exfiltration-and-ransomware/

3、https://thehackernews.com/2021/07/phony-call-centers-tricking-users-into.html

原文来源：网空闲话

本文始发于微信公众号（关键基础设施安全应急响应中心）：社会工程、邮件钓鱼、电话诈骗三管齐下--新型网络攻击BazaCall强势来袭