【漁翁撒網】冒充網絡安全公司要求回撥電話 黑客新招發動釣魚電郵攻擊
釣魚電郵的詐騙手段經常轉變,大多數網絡釣魚活動,黑客都在電郵中加入了指向虛假登入頁面的連結,藉以竊取登入憑證,或在電郵中包含惡意附件,欺騙受害人安裝惡意軟件。但最近有黑客冒充知名網絡安全公司 CrowdStrike,發送網絡釣魚電子郵件,要求收件人回撥指定電話,並從中獲得對其公司網絡的存取權限。
BleepingComputer 的報道指,在過去一年威脅參與者愈來愈多地採用要求回撥的網絡釣魚活動,透過冒充知名公司,要求收件人撥打電話解決問題、取消續訂或討論其他問題。當目標撥打電話號碼時,威脅參與者透過社交工程方法,說服用戶在他們的設備上安裝遙距訪問軟件,從而提供對公司網絡的初始存取權限,再破壞整個 Windows Domain。
一個最新的回撥網絡釣魚活動中,黑客冒充 CrowdStrike 並警告收件人,惡意網絡入侵者已經破壞了他們的工作站,並需作深入的安全調查。這些回撥網絡釣魚活動專注於社交工程,詳盡解釋為什麼收件人需授權他們存取其設備。其電郵提到:「在日常網絡檢查中,我們發現了與你的工作站所屬的網絡有異常活動。我們已確定管理網絡的特定網域管理員,並懷疑可能會影響該網絡中的所有工作站的潛在危害。我們已與您的資訊安全部門聯繫,但為了解決工作站的潛在危害,他們將我們轉介給這些工作站的個別操作員。」
在電郵的尾聲會要求收件人致電隨附的電話號碼,以安排對其工作站的安全審查。如果收件人真的回撥電話,黑客將指導他們安裝遙距管理工具 (RAT),藉以完全控制其工作站,使他們能夠通過網絡橫向傳播、竊取公司數據,並可能部署勒索軟件以加密設備。
在 CrowdStrike 的一份報告中,該公司認為這些釣魚活動最終會導致勒索軟件攻擊,並警告指,這是第一個識別出的冒充網絡安全實體的回撥活動,鑑於網絡入侵常出現及具危機,致使該活動具有更高的潛在成功率。CrowdStrike 又指出,在 2022 年 3 月,其分析師發現了一次類似的活動,其中威脅參與者使用 AteraRMM 安裝 Cobalt Strike,然後在部署惡意軟件之前,在受害者的網絡上橫向移動。
於 2021 年,隨著 Conti 勒索軟件組織使用 BazarCall 網絡釣魚活動,獲得對公司網絡的初始訪問權限,回撥網絡釣魚活動開始變得普遍,其理由包括防毒和支持訂閱,以及續訂在線課程。AdvIntel 的 Vitali Kremez 向 BleepingComputer 表示,CrowdStrike 所發現的活動據信是由 Quantum 勒索軟件團隊發起,他們曾發起類似 BazarCall 的網絡釣魚活動。
Quantum 是目前增長最快,並以企業為目標的勒索軟件團體之一,最近對 PFC 的攻擊令 650 多個醫療保健組織受影響。安全分析師還證實,由於研究人員和執法部門加強審查,許多前 Conti 成員在其關閉後,跳槽到 Quantum。
雖然此類網絡釣魚電子郵件在過去很難獲得大規模成功,但在當前情況下,由於許多員工在家遠遙距工作,令威脅持續。