近日,一起恶意软件活动被发现利用Python载荷和TryCloudflare隧道传播名为AsyncRAT的远程访问木马。
Forcepoint X-Labs研究员Jyotika Singh在分析中指出:“AsyncRAT是一种远程访问木马,利用async/await模式实现高效异步通信。”
“它允许攻击者隐秘地控制受感染系统,窃取数据并执行命令,同时保持隐蔽,因此构成重大网络安全威胁。”
这起多阶段攻击链的起点是一封包含Dropbox链接的钓鱼邮件,点击链接后会下载一个ZIP压缩包。
压缩包内包含一个互联网快捷方式(URL)文件,该文件作为Windows快捷方式(LNK)文件的传输渠道,进一步推动感染扩散,而收件人则会看到一个看似无害的诱饵PDF文档。
具体而言,LNK文件是通过URL文件内嵌的TryCloudflare URL获取的。TryCloudflare是Cloudflare提供的一项合法服务,用于通过创建专用通道(即trycloudflare[.]com上的子域名)将Web服务器暴露给互联网,而无需开放任何端口。
LNK文件触发PowerShell执行托管在同一位置的JavaScript代码,进而引导到一个能够下载另一个ZIP压缩包的批处理脚本(BAT)。新下载的ZIP文件包含旨在启动和执行多个恶意软件家族的Python载荷,如AsyncRAT、Venom RAT和XWorm。
值得注意的是,去年发现了同一感染序列的轻微变种,传播了AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT和XWorm。
Singh指出:“这起AsyncRAT活动再次表明,黑客如何利用Dropbox链接和TryCloudflare等合法基础设施为己所用。载荷通过Dropbox链接和临时的TryCloudflare隧道基础设施下载,从而诱使收件人相信其合法性。”
这一事态发展正值利用钓鱼即服务(PhaaS)工具包进行钓鱼活动激增之际,这些活动通过引导用户访问模仿微软、谷歌、苹果和GitHub等可信平台登录页面的虚假着陆页,实施账户接管攻击。
还观察到通过电子邮件进行的社会工程学攻击利用被攻陷的供应商账户收集用户的Microsoft 365登录凭据,这表明威胁行为者正在利用互联供应链和固有信任来绕过电子邮件身份验证机制。
近几周记录的其他一些钓鱼活动包括:
针对拉丁美洲组织的攻击,利用官方法律文件和收据分发和执行SapphireRAT;
利用合法域名(包括政府网站“.gov”域名)托管Microsoft 365凭据收集页面;
冒充税务机构和相关金融机构,针对澳大利亚、瑞士、英国和美国的用户,以捕获用户凭据、进行欺诈支付和分发AsyncRAT、MetaStealer、Venom RAT、XWorm等恶意软件;
利用伪造的Microsoft Active Directory Federation Services(ADFS)登录页面收集凭据和多因素身份验证(MFA)代码,以进行后续以财务动机为主的电子邮件攻击;
利用Cloudflare Workers(workers.dev)托管模仿各种在线服务的通用凭据收集页面;
以就业合同为幌子,针对德国组织使用Sliver植入物;
利用零宽度连接符和软连字符(又称SHY字符)绕过钓鱼邮件中的一些URL安全检查;
分发陷阱URL,作为名为ApateWeb的活动的一部分,交付恐吓软件、潜在不需要的程序(PUPs)和其他诈骗页面。
CloudSEK的最新研究还表明,可以利用Zendesk的基础设施来协助钓鱼攻击和投资诈骗。
该公司表示:“Zendesk允许用户注册其SaaS平台的免费试用版,并允许注册子域名,这些子域名可能被滥用以冒充目标。”并补充说,攻击者随后可以将目标电子邮件地址作为“用户”添加到Zendesk门户中,以发送钓鱼邮件。
“Zendesk不会进行电子邮件检查以邀请用户。这意味着任何随机账户都可以作为成员添加。可以以分配给电子邮件地址的工单为幌子发送钓鱼页面。”
发表评论