攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件

admin
admin
admin
138719
文章
114
评论
2024年12月20日10:20:47评论11 views字数 2050阅读6分50秒阅读模式

一项新的社会工程活动利用 Microsoft Teams 作为促进部署名为 DarkGate 的已知恶意软件的一种方式。

“攻击者通过 Microsoft Teams 调用使用社会工程来冒充用户的客户端并远程访问他们的系统,”趋势科技研究人员 Catherine Loveria、Jovit Samaniego 和 Gabriel Nicoleta 说。

“攻击者未能安装 Microsoft Remote Support 应用程序,但成功指示受害者下载 AnyDesk,这是一种通常用于远程访问的工具。”

正如网络安全公司 Rapid7 最近记录的那样,这次攻击涉及用“数千封电子邮件”轰炸目标的电子邮件收件箱,然后威胁行为者通过伪装成外部供应商的员工通过 Microsoft Teams 接近他们。

然后,攻击者继续指示受害者在他们的系统上安装 AnyDesk,随后滥用远程访问以提供多个有效载荷,包括凭据窃取程序和 DarkGate 恶意软件。

2018 年以来,DarkGate 是一种远程访问木马 (RAT),现已发展成为一种客户数量受到严格控制的恶意软件即服务 (MaaS) 产品。它的各种功能包括进行凭据盗窃、键盘记录、屏幕捕获、录音和远程桌面。

对过去一年中各种 DarkGate 活动的分析表明,已知它通过两个不同的攻击链分发,这两个攻击链使用 AutoIt 和 AutoHotKey 脚本。在 Trend Micro 检查的事件中,恶意软件是通过 AutoIt 脚本部署的。

尽管攻击在发生任何数据泄露活动之前就被阻止了,但这些发现表明威胁行为者如何使用一组不同的初始访问路由进行恶意软件传播。

建议组织启用多因素身份验证 (MFA),将批准的远程访问工具列入允许列表,阻止未经验证的应用程序,并彻底审查第三方技术支持提供商以消除电话钓鱼风险。

这一发展是在不同的网络钓鱼活动激增之际发生的,这些活动利用各种诱饵和技巧来欺骗受害者放弃他们的数据:

  • 一项面向 YouTube 的大规模活动,其中不良行为者冒充流行品牌并通过电子邮件与内容创建者联系以获取潜在的促销、合作提案和营销合作,并敦促他们点击链接签署协议,最终导致 Lumma Stealer 的部署。来自 YouTube 频道的电子邮件地址是通过解析器提取的。
  • 一种压制活动,利用带有包含 QR 码附件的 PDF 附件的网络钓鱼电子邮件,扫描后,会将用户引导至虚假的 Microsoft 365 登录页面以进行凭据收集。
  • 网络钓鱼攻击利用与 Cloudflare Pages 和 Workers 相关的信任,建立模拟 Microsoft 365 登录页面和虚假 CAPTCHA 验证检查的虚假网站,以据称查看或下载文档。
  • 网络钓鱼攻击使用 HTML 电子邮件附件,这些附件伪装成合法文档(如发票或人力资源政策),但包含嵌入式 JavaScript 代码来执行恶意操作,例如将用户重定向到网络钓鱼网站、收集凭据以及欺骗用户以修复错误为借口运行任意命令(即 ClickFix)。
  • 电子邮件网络钓鱼活动,利用 Docusign、Adobe InDesign 和 Google Accelerated Mobile Pages (AMP) 等受信任的平台,让用户点击旨在获取其凭据的恶意链接。
  • 声称来自 Okta 支持团队的网络钓鱼尝试,以访问用户的凭据并破坏组织的系统。
  • 针对印度用户的网络钓鱼消息,通过 WhatsApp 分发,并指示收件人为能够窃取财务信息的 Android 设备安装恶意银行或实用程序应用程序。

众所周知,威胁行为者会迅速利用全球事件来发挥自己的优势,将其纳入他们的网络钓鱼活动中,通常利用紧迫感和情绪反应来操纵受害者并说服他们做出意外的行动。这些努力还得到了带有事件特定关键字的域注册的补充。

“备受瞩目的全球活动,包括体育锦标赛和产品发布会,吸引了试图利用公共利益的网络犯罪分子,”Palo Alto Networks Unit 42 表示。“这些犯罪分子注册了模仿官方网站的欺骗性域名,以销售假冒商品并提供欺诈服务。”

“通过监控域名注册、文本模式、DNS 异常和更改请求趋势等关键指标,安全团队可以及早识别和缓解威胁。”

敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com

原文始发于微信公众号(信息安全大事件):攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月20日10:20:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻击者利用 Microsoft Teams 和 AnyDesk 部署 DarkGate 恶意软件http://cn-sec.com/archives/3526042.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息