Fortinet 的 FortiGuard 實驗室最新研究重點關注了近期發現的一起網路釣魚活動,該活動利用精心設計的電子郵件發送指向誘人釣魚頁面的 URL。這些頁面旨在誘使收件者下載 JavaScript 文件,這些文件充當 UpCrypter 惡意軟體的植入程序,UpCrypter 最終會部署各種遠端存取工具 (RAT)。
欺騙性網站會使用目標的電子郵件網域進行個人化設置,從而增強可信度。最新研究描述了一條感染鏈,該感染鏈使用不同的方法引誘受害者,並成功傳播了多個 RAT,包括 PureHVNC、DCRat 和 Babylon RAT。
研究表明,攻擊者現在可以使用網路上現成的工具輕鬆製作釣魚郵件和虛假網站。這些工具讓他們能夠建立一個完整的惡意軟體傳播系統,而不僅僅是進行簡單的詐騙。
這不僅僅是竊取電子郵件登入訊息,因為一旦進入系統,攻擊者就可以長期控制系統。使用者和組織應該認真對待這項威脅,使用強大的電子郵件過濾器,並確保員工接受過識別和避免此類攻擊的培訓。
以下是我的一些專家提供的補充評論。
網路安全支援總監 Frankie Sclafani at 深度觀察
全球各地的組織機構都需要意識到,UpCrypter 網路釣魚活動是一種高度複雜且危險的威脅。這是一個完整的攻擊過程,旨在秘密地在您的網路中安裝持久的惡意負載。
此次攻擊活動真正在全球展開。據 FortiGuard 實驗室稱,在短短兩週內,檢測數量增加了一倍多,反映出其快速且積極的成長模式。惡意程式碼經過大量混淆處理,並填充了大量垃圾程式碼以掩蓋其目的。如果偵測到取證工具、偵錯器或虛擬機器環境(例如 any.run 或 Wireshark),則該惡意軟體就會掃描並重新啟動系統。
UpCrypter 使用 PowerShell 和 .NET 反射技術,直接在記憶體中執行攻擊的後續階段,而無需將最終有效載荷寫入磁碟。此外,載入程式資料以兩種格式傳遞——純文字和使用隱寫術嵌入到圖像檔案中——以規避靜態偵測。最後,該活動還提供了各種遠端存取工具 (RAT),例如 PureHVNC、DCRat 和 Babylon RAT,使攻擊者能夠完全遠端控制受感染的系統。
員工培訓至關重要。確保您的 WAF、郵件過濾器、EDR 和防毒軟體保持最新狀態,因為惡意軟體會被 FortiGuard Antivirus 等工具偵測和攔截。明智的安全團隊會利用威脅情報服務並實施提供的入侵指標 (IOC) 來主動阻止這些攻擊。
為了阻止類似此次攻擊活動中所使用的惡意腳本,安全團隊應實施幾項關鍵控制措施。這些措施包括強制執行 PowerShell 腳本簽署並使用受限語言模式。如果日常操作不需要,請將執行策略調整為更嚴格的設定(例如 AllSigned 或 RemoteSigned),以限制標準使用者的 PowerShell 執行。
然而,最有效的控制措施是應用程式白名單。透過白名單,安全團隊可以阻止惡意 JavaScript 植入程式及其後續的 RAT 負載運行,即使用戶被誘騙下載文件,也能有效抵禦威脅。
J Stephen Kowski,現場首席技術官 SlashNext 電子郵件安全+
「最重要的是要明白,這不是一次性的資料竊取,而是一次完整的系統漏洞,可以在公司網路內部悄悄蔓延。
團隊應該專注於在使用者點擊之前捕獲這些威脅,因為在電子郵件和 Web 層進行封鎖是最快的防禦措施。能夠識別腳本和釣魚網站中混淆操作的自動檢測至關重要,因為傳統的過濾器經常會漏掉這些技巧。
“培訓員工識別虛假語音郵件或訂單請求等誘餌會有所幫助,但將其與實時阻止惡意下載的威脅檢測相結合才是真正阻止攻擊者的關鍵。”
John Bambenek,總裁 巴姆貝內克顧問公司
各種虛假語音郵件和虛假發票釣魚誘餌仍然受到攻擊者的青睞,僅僅是因為它們有效。然而,在本例中,尋找開啟電子郵件中 HTML 附件並導致使用 PowerShell 的事件鏈,可以輕鬆快速地偵測(並有望阻止)此類事件鏈。並非每個使用者都需要存取 PowerShell,尤其是在該事件鏈從 Outlook.exe 啟動時。