Trend Micro 披露了一起利用 Microsoft Teams 通话部署 DarkGate 恶意软件的社会工程攻击。
攻击者诱使用户安装远程访问工具 AnyDesk,以入侵系统、执行恶意命令并尝试建立命令与控制 (C&C) 连接。
虽然在数据泄露发生之前就挫败了该攻击,但该事件凸显了语音钓鱼 (语音网络钓鱼) 技术不断演变的威胁。
攻击始于受害者收到大量电子邮件,随后是一名冒充可信供应商员工的个人打来 Microsoft Teams 电话。
在通话过程中,攻击者指示受害者下载 Microsoft Remote Support 软件。
当安装失败时,受害者被指示下载合法的远程访问应用程序 AnyDesk。
攻击者利用社会工程学获取用户的凭据以获取访问权限。
连接后,攻击者会释放多个可疑文件,包括通过 rundll32.exe 执行的 DLL 文件 SafeStore.dll。
此 DLL 采用侧载技术来触发其他恶意活动。
随后部署了打包在 AutoIt 脚本中的 DarkGate 恶意软件,从而实现系统侦察并连接到 C&C 服务器。
通过 Teams 部署 DarkGate
DarkGate 恶意软件通过一系列复杂的事件进行传播,包括执行加密的 AutoIt 脚本 script.a3x 以及将其与 MicrosoftEdgeUpdateCore.exe 等合法系统进程集成。
这些步骤使恶意软件能够秘密运行并逃避检测。
恶意软件执行的关键命令包括:
- 收集系统信息(cmd /c systeminfo)。
- 收集网络详细信息(cmd /c ipconfig /all)。
- 创建持久注册表项以维持访问。
该恶意软件还试图通过创建诱饵文件并运行自身的重复实例来识别和绕过防病毒软件。
在此阶段,观察到与 179.60.149[.]194 的 C&C 服务器的连接。
启示和防御技巧
DarkGate 恶意软件是一种强大的工具,能够实现远程控制、系统发现、数据收集和进一步的有效载荷传递。
它在这次攻击中的使用凸显了威胁行为者使用语音网络钓鱼来绕过传统电子邮件防御的日益复杂化。
该恶意软件家族通过“ ClickFix ”活动、SEO 中毒,甚至SMB 共享中的Excel 文件广泛传播。
最有可能的是,这一最新的网络钓鱼活动是运营商选择的一种传播方法,他们租用恶意软件工具来针对企业环境。
为了避免被强大的信息窃取者感染,在授予远程访问权限之前,请务必验证技术支持人员或供应商的身份。组织应建立协议来验证第三方支持声明,并在所有远程访问平台上实施多因素身份验证。
原文始发于微信公众号(网络研究观):Microsoft Teams 被利用传播 DarkGate 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论