邮件攻击再升级：Microsoft Office 365 用户面临凭据窃取与恶意软件双重危机

一场复杂的网络攻击活动已经出现，它采用双重威胁方法，同时窃取 Microsoft Office 365 凭据并向毫无戒心的受害者发送恶意软件。

这种混合攻击始于伪装成合法文件共享服务的文件删除提醒的欺骗性电子邮件，营造出一种虚假的紧迫感，迫使用户立即采取行动来保存所谓的重要文件。

此次攻击巧妙地利用了用户的信任，将合法的云存储平台 files.fm 作为其初始传播机制。

收件人会收到有关即将删除文件的警告，邮件主题行提及商业文件，促使他们点击超链接的文档名称，这些链接会将他们引导至真实的 files.fm 页面。

这种方式极大地提高了攻击的可信度，因为在感染链的早期阶段，用户是在与一个真实的文件共享服务进行交互。

Cofense 网络钓鱼防御中心（PDC）的研究人员发现了这一攻击活动，并指出了其特别阴险的 “二选一” 攻击方式。

在下载并打开共享的 PDF 文件后，用户会面临两个看似无害的选项：“预览” 或 “下载”—— 而每个选项都会导致不同但同样具有破坏性的后果。

这种分叉式的攻击路径通过提供多种入侵途径，将攻击成功率最大化。

当用户选择 “预览” 时，凭据窃取组件就会启动。这一操作会将受害者重定向到一个看似可信但实则欺诈的 Microsoft 登录页面，该页面与真实的 Microsoft 登录界面极为相似。

虽然该页面具有人们熟悉的 Microsoft 品牌元素，但也包含一些细微的不一致之处，比如非 Microsoft 域名的网址。

然而，这些警示信号在当时往往会被忽视，当用户尝试进行身份验证时，就会导致凭据被盗。

另一方面，选择 “下载” 则会触发伪装成

 “SecuredOneDrive.ClientSetup.exe” 的恶意软件的安装。

这个可执行文件伪装成合法的 Microsoft 软件，而实际上会部署 ConnectWise 远程访问木马（ConnectWise RAT），这是一种恶意工具，它利用合法的远程管理软件来实现未经授权的系统访问。

感染机制分析

正如 Cofense 报告中所记录的那样，感染链展示出了极高的技术复杂性。

一旦初始的 PDF 文件被打开，两条攻击路径都会通过不同的方法导致系统完全被入侵。

PDF 文件本身就是一个极具说服力的诱饵文档，它显示出一个看似标准的文件预览界面，带有看似有用的操作按钮。

当恶意软件被执行后，它会通过多种技术实现持续驻留。它会创建带有自动启动参数的系统服务，确保在系统重启后仍能保持运行状态。

此外，它还会修改 HKEY_LOCAL_MACHINE 下的 Windows 注册表，将 “Start” 值设置为 “0x00000002”，以保证在系统启动时自动启动。

这些持续驻留机制使得安全团队要彻底清除恶意软件变得尤为困难。

该恶意软件会连接到 “instance-i4zsy0relay.screenconnect.com:443”的命令与控制（C2）服务器，使远程攻击者能够执行命令、窃取数据，并有可能在被入侵的网络中进行横向移动。

对该恶意软件的分析显示，它是基于 ConnectWise Control（前身为 ScreenConnect）构建的，而 ConnectWise Control 是一款合法的远程管理工具，如今已被用于恶意活动。