微软
微软资安情资中心在6月23日提出警告,利用电话客服散布恶意软件BazaCall(亦称BazarCall)的钓鱼邮件攻击行动,攻击者的目标疑似是Office 365用户,且会在受害电脑植入勒索软件。但当时对于攻击行动的细节说明,可说是相当有限,仅有提及大致的攻击流程,且提及攻击者会人为操作并植入勒索软件,过程中会使用Cobalt Strike等局部线索。到了7月29日,他们公布了新的调查结果,说明这类攻击完整的流程,还有做为诱饵的钓鱼邮件如何回避邮件防护系统侦测,以及入侵受害电脑之后,将会利用多种合法工具攻击整个企业网域,并对于网络设备植入特定勒索软件等细节。同时,微软也针对BazaCall各攻击阶段的威胁猎捕,提供了进阶威胁查询指令。
针对BazaCall攻击手法,微软指出,根据他们的观察,攻击者会在受害环境的网络环境快速移动,外泄大量资料并窃取帐密,然后在成功入侵后的48个小时内,植入勒索软件Conti或Ryuk。
为何微软要揭露相关细节?因为在持续调查后,他们发现在BazaCall的攻击过程里,骇客利用社交工程和人为操控的方式,不像一般恶意软件采用自动化的攻击策略,而更容易逃过资安防护系统的侦测。这样的策略,他们觉得BazaCall比起目前已被公开的情况还要危险。
这种利用客服电话的攻击手法,最早是在今年2月被揭露。攻击者先是寄送钓鱼邮件,信件内容是佯称收信人订阅的网络或软件服务试用到期,接下来将会收取高额的订额费用,而使得被害人心生恐惧,依照邮件指示拨打“客服专线”,来取消有关服务。但实际上,这个由攻击者安排的“客服”,会指示上勾的受害者下载带有宏的Excel档案,一旦这个档案被开启,就会在受害电脑植入BazaLoader恶意程式,并建立C2中继站的连线,来进行后续的攻击行动。
微软曾经提及这种钓鱼邮件缺乏可被识别的元素,而使得一般邮件防护系统可能难以察觉异状。但这些元素为何?他们这次给了明确的答案:BazaCall的钓鱼邮件没有夹带附件或是URL连结,而这些正是邮件防护系统判别邮件内容是否可能有害的依据之一。
而为了让收信人会拨打电话给“客服”,攻击者也制造出几可乱真的氛围。例如,攻击者在每一波的钓鱼邮件都会使用不同的服务订阅名义,例如照片编辑服务或是烹饪交流网站的会员资格,但相同的都是宣称服务订阅将要到期。微软指出,攻击者疑似为了增加收信人拨打电话的意愿,他们看到最近一次的BazaCall攻击行动中,钓鱼邮件内容改为购买软件授权的收据确认信。
BazaCall攻击者以收件人购买了知名解压缩软件WinRAR的名义,寄送订购成功的通知信,在这封信中声称收件人购买了20台电脑授权,价值320美元,有2个星期时间可以拨打信里随附的“客服专线”取消购买。要是收件人拨打这支专线,“客服人员”就会指示下载恶意Excel文件档案进行后续攻击行动。
再者,微软指出,为了规避邮件防护系统透过寄件人黑名单的过滤方式,每封BazaCall邮件都是由不同的寄件人发出,而这些寄件人的电子邮件信箱,有可能是被盗用的,或是免费的电子邮件信箱;为了让收信人相信邮件来自真实的公司行号,寄件人也会谎称是来自与真实企业相似名称的公司,即使收信人透过网络搜寻进行确认,还是有可能会上当──因为,攻击者还架设了几可乱真的“官方网站”。
究竟这些钓鱼邮件,与真实的购买网络服务或是软件授权通知信有多么相似?微软表示,大部分的BazaCall邮件都会显示用户ID,而使得收信人误以为自己真的是他们的用户,但实际上,这组ID不只是用来骗收信人,还是攻击者追踪受害者的识别码。
一旦收信人依照指示打电话给“客服”,并下载了宣称是取消订阅所需填写的Excel表格,微软说BazaCall的客服还从中下了指导棋。因为,该公司发现,有些使用者会绕过SmartScreen等过滤机制,来下载他们已经标示有问题的恶意档案,这代表“客服人员”很可能从中指示要如何操作,并要胁如果不照做的话,信用卡就会被扣款。此外,“客服人员”也会要求使用者在开启上述Excel档案后,启用宏的功能。
这个Excel的宏一旦被触发后,便会借由就地取材(Living Off-the-Land)的手法,复制Windows操作系统里的certutil.exe,并利用这个副本档案下载BazaLoader──这是恶意的动态连结程式库(DLL),执行的方式是经由rundll32.exe载入。而BazaLoader与C2中继站保持通讯的方式,攻击者则是在rundll32.exe注入Edge浏览器的处理程序,这个处理程序也被用于侦察、收集用户资料、网域资料等工作。
而为了能让攻击者能远端手动控制,以及找寻网域管理员账号等资讯,此时rundll32.exe会下载渗透测试工具Cobalt Strike。而在攻击者侦察完受害电脑的网络环境,他们会使用该渗透测试工具随附的PsExec进行横向移动,而对于网域控制器等较具价值的攻击目标,攻击者横向移动的过程中,还会使用Windows Management Instrumentation命令列工具(WMIC)。
一旦攻击者发现具有高价值的目标,他们会使用7-Zip打包资料,并利用开源工具RClone外泄。针对网域控制器,攻击者运用NTDSUtil.exe,来复制受害组织的AD数据库档案NTDS.dit,这个档案包含了整个网域所有使用者的账号资料,以及密码杂凑值。
微软指出,上述资料外泄是部分BazaCall攻击的主要目的,但他们也看到攻击者接续在受害网域散布勒索软件的情况,攻击者会借由高权限的使用者账号,使用PsExec来在网络装置上植入Conti或是Ryuk。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09