早在5月份,微软就确定俄罗斯支持的NOBELIUM黑客组织对持续数月的SolarWinds网络攻击负责,并且与企业、政府和执法机构合作,共同遏制此类网络攻击的负面影响。早些时候,微软仔细研究了NOBELIUM使用的一组更复杂的恶意软件传递方法。已知用于造成破坏并获得对“HTML走私”系统的访问权限。HTMLSmuggling技术概述(图片来自:MicrosoftSecurity)微软表示,HTMLSmuggling是一种恶意软件传递技术,它利用合法的HTML5和JavaScript功能来高度逃避安全系统的检测。网络钓鱼电子邮件示例近年来,这种技术越来越多地用于部署银行恶意软件、远程访问木马(RAT)和其他有针对性的网络钓鱼电子邮件活动。Mekotio活动中暴露的威胁行为,其实早在今年5月NOBELIUM发起的钓鱼邮件活动中就有观察到。最近的案例包括网上银行木马Mekotio、AsyncRAT/NJRAT和Trickbot(控制机器人并传播勒索软件有效负载和其他威胁)。HTML走私网页代码示例顾名思义,HTML走私允许攻击者在特制的HTML附件或网页中“走私私人物品”。当目标用户在浏览器中打开时,这些恶意编码的脚本会在不知不觉中被解码以在受害者的设备上组装有效负载。用JavaScript修饰的ZIP文件换句话说,攻击者不是直接通过网络传送可执行文件,而是绕过防火墙并在黑暗中重建恶意软件。例如,攻击者会在电子邮件中附加一个指向HTML走私(或重定向)页面的链接,然后会提示自动下载序列。钓鱼页面为了帮助用户识别愈演愈烈的HTMLSmuggling攻击,微软在文章中给出了一些演示示例,告诫银行和个人采取必要的防御措施,同时也不忘宣传自家的Microsoft365安全解决方案。在具有密码保护下载器的浏览器中构建的JavaScript实例据报道,微软通过与一系列其他端点防御协同工作,使用多层方法来防御网络威胁,以防止在更高层执行攻击链并减轻更复杂攻击的后果。来自Trickbot网络钓鱼活动的HTML走私攻击示例最后,Microsoft强烈建议客户养成良好的习惯,花时间了解各种恶意软件感染案例,并尽量减少不必要的本地/管理权限。
