新的网络攻击活动利用虚假电子邮件和电话轰炸组织机构

    网络威胁形势瞬息万变，攻击者不断使用新方法侵入组织并利用其弱点。最近，新闻中报道的一项活动是不断向组织发送虚假电子邮件和打电话。在这场正在进行的网络攻击活动中，有迹象表明 Black Basta 和 FIN7 等组织正在使用各种伎俩欺骗组织内部人员，让他们泄露重要信息或未经许可让他们进入。

与 Black Basta、FIN7 相关的虚假电子邮件和电话活动的 AI 插图

    这项活动的核心在于操纵人们的思维方式和信任。攻击者向特定人员发送大量虚假电子邮件，塞满他们的收件箱，让他们感到匆忙和不知所措。这些电子邮件通常看起来像是来自真实来源，例如同事或老板，这让收件人很难分辨它们是真实的还是危险的。

    除了大量发送电子邮件外，攻击者还会在打电话时假装成其他人。他们可能会假装自己是 IT 支持团队或组织内其他值得信赖的人，诱骗员工分享私人信息或做出危害安全的事情。通过同时使用电子邮件和电话，攻击者更有可能成功并造成大麻烦。

    对于组织来说，了解这次网络攻击活动并提前采取措施以确保安全非常重要。通过了解攻击者使用的技巧，组织可以更轻松地发现和阻止可能的危险。这意味着要教育员工了解虚假电子邮件和电话带来的风险，采取强有力的安全措施，并知道如果发生不好的事情该怎么做。这里的主要思想是始终保持警惕并保持强大的网络安全，以便这些攻击无法得逞。

了解所使用的策略

    此次网络攻击活动主要采用了两种策略，即电子邮件超载和电话冒充。

电子邮件超载

攻击者向目标组织发送大量垃圾邮件，目的是淹没其电子邮件系统和个人收件箱。

• 具体技术包括 发送大量看似合法 但包含恶意附件或链接的电子邮件。例如，这些电子邮件可能伪装成重要通知、 发票或行动请求，诱使收件人与恶意内容进行互动。

• 通过利用 这些电子邮件中的信任和紧迫性 ，攻击者的目的是欺骗收件人，让他们不知不觉地协助未经授权访问其组织的系统。

冒充电话

除了电子邮件超载之外，该活动还采用电话模仿作为利用人际交往的策略。

• 攻击者通过电话冒充受信任的实体或权威人士，操纵个人泄露敏感信息或执行危害组织安全的操作。例如，他们可能冒充 IT 支持人员或公司高管，以系统更新为幌子索要登录凭据或指示员工下载并执行恶意文件。

• 此次活动利用 社会工程策略 建立未经授权的访问 并从毫无戒心的员工那里收集有价值的情报。

对组织安全和运营的影响

垃圾邮件和欺骗电话的持续攻击对目标组织具有重大影响：

• 安全隐患：这些策略创建了一个容易被利用的环境，可能会导致未经授权的访问、 数据泄露和关键系统的危害。

• 根据网络安全统计数据，近年来此类攻击呈上升趋势。

• 运营中断：大量的来电和电子邮件可能会扰乱正常运营、堵塞沟通渠道并分散人员的注意力，无法完成合法的任务。

通过详细了解这些策略，组织可以更好地准备其网络安全防御，并为其人员提供识别和阻止此类欺骗策略所需的知识。

检查有效载荷和技术

    此次攻击活动的一个值得注意的方面是使用了 Cobalt Strike 信标。这些信标是一种多功能工具，可让攻击者控制受感染的网络并开展各种恶意活动。借助 Cobalt Strike 信标，威胁行为者可以：

• 获得系统的远程访问权限

• 提升他们的权限

• 在网络内横向移动

攻击如何进行以及与命令和控制服务器的通信

    攻击者使用批处理脚本自动执行目标系统上的任务。这些脚本对于下载更多恶意软件、更改系统设置以及隐藏其操作以避免被发现等操作至关重要。

此外，它们还与命令和控制 (C2) 服务器通信以：

• 接收指令

• 窃取敏感数据

• 保持对受感染环境的控制

反向 Shell 的使用

    对于寻求未经授权访问的攻击者来说，使用反向 shell 是一种至关重要的策略。它允许他们绕过传统的网络安全措施，并通过命令行访问直接控制受感染的系统。这种隐蔽的方法使威胁行为者能够：

• 运行他们想要的任何命令

• 增加他们的特权

• 在不引起怀疑的情况下收集信息

通过彻底了解这些有效载荷和技术，组织可以提高检测威胁的能力  并加强对类似网络攻击的防御能力。网络安全专业人员必须及时了解威胁行为者使用的不断变化的策略，以便有效地管理风险并保护 数字资产。

活动背后的可能参与者：Black Basta 和 FIN7

    持续发生的通过虚假电子邮件和电话针对组织的网络攻击活动引发了人们对这些恶意活动背后可能存在的行为者的质疑。

    探索的途径之一是检查与Black Basta 勒索软件相关的指标 。这种勒索软件以其双重勒索模式、加密系统和窃取数据以获取优势而闻名。正在审查的活动与 Black Basta 攻击模式有相似之处，促使研究人员调查任何潜在的联系。

    基于对攻击模式和与已知活动的相似性的分析，研究人员还发现了正在进行的活动与 Black Basta 勒索软件指标和 FIN7之间的潜在联系。

FIN7 威胁行为者卡片

    通过了解此次活动背后的潜在参与者，组织可以深入了解这些威胁行为者的动机和策略。这些知识将使他们能够增强网络安全措施，并更好地保护自己免受未来类似的攻击。

    请注意，这些联系正在调查中，归因可能需要进一步的证据。

原文始发于微信公众号（OSINT研习社）：新的网络攻击活动利用虚假电子邮件和电话轰炸组织机构