据相关网络安全专家介绍,自2020年5月以来,他们一直在跟踪针对公司高管的钓鱼活动。黑客在钓鱼页面中重新使用了受感染的主机通过欺骗Office365密码过期报告窃取了数千名公司员工的凭据。该活动主要针对金融、政府、制造、房地产和技术等领域。日本、美国、英国、加拿大、澳大利亚和几个欧洲国家都出现了受害者。迄今为止,已识别出300多个唯一URL,以及来自八个受感染网站的70个电子邮件地址。其中,包括公司CEO、董事、公司创始人、所有者以及其他公司员工的40个合法电子邮件地址。作为诱饵,黑客使用伪造的Office365密码过期报告,要求受害者单击一个嵌入式链接,他们说该链接允许他们继续使用相同的密码。然而,一旦潜在受害者点击“保留密码”选项,他们就会被带到钓鱼页面。攻击者正在使用受损的基础设施和受害者的帐户凭据来托管网络钓鱼页面并瞄准更多受害者。作为攻击的一部分,黑客使用了去年首次详细描述的网络钓鱼工具,该工具被用于模拟微软登录页面的类似攻击。该工具包可供出售,它还允许网络犯罪分子验证被盗凭据的详细信息和准确性。同时,专家还发现,黑客正在出售公司CEO、首席财务官(CFO)和财务部门成员等Office365帐户的窃取凭据。这些帖子出现在多个英语和俄语论坛上。值得注意的是,俄语论坛上的所有帖子都是用英语发表的,并且使用的是最近注册的帐户。特定信息页面上还提供了受损的Office365帐户凭据和员工各自的公司职务。此活动中的大多数网络钓鱼电子邮件都是使用FireVPS的虚拟专用服务器(VPS)发送的,它为客户提供各种Windows远程桌面协议(RDP)计划。网络钓鱼工具包似乎是类似工具的第四次迭代,还包括广泛的IP地址范围和域名列表,旨在阻止安全公司和大型云提供商的访问,可能是为了逃避检测,因为该列表包括许多网络安全和科技公司。对从配置错误的站点收集的日志文件中的数据进行的分析表明,被盗凭据来自八个受感染的网络钓鱼站点,在撰写本文时托管恶意Office365V4工具包。我们发现每个网站可能都是由不同的黑客为不同规模和范围的网络钓鱼活动而设置的。一项活动仅面向美国公司的首席执行官、总裁和创始人,而另一项活动面向来自美国、英国、加拿大、匈牙利、荷兰和以色列等多个国家的董事和经理。此外,黑客似乎主要从LinkedIn收集了目标电子邮件地址。这家美国公司CEO的电子邮件地址显然是这次活动的主要目标,而其他人则使用相同的网络钓鱼工具包。此类电子邮件允许黑客进行进一步的网络钓鱼、破坏敏感信息以及进行商业电子邮件妥协(BEC)和其他社会工程攻击。网络钓鱼攻击和黑客通常以员工为目标,他们通常是组织安全链中最薄弱的环节。通过有选择地对公司高管进行网络钓鱼,黑客可以大大提高所获得凭据的价值,因为它们可以进一步访问敏感的个人和组织信息,并用于其他攻击。参考链接:https://www.trendmicro.com/en_us/research/21/a/fake-office-365-used-for-phishing-attacks-on-c-suite-targets.html
