新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
资讯:新型语音钓鱼攻击利用微软Teams投放恶意软件
攻击者借助微软Teams通话功能以及远程支持工具 “快速助手”,实现对企业安全边界的突破。他们通过冒充高级IT人员制造紧迫感,瓦解受害者的防备心理,进而启动多阶段感染流程,以此规避常规检测机制。
攻击的初始阶段,攻击者会使用外部账号发起Teams通话,并伪造显示名称,伪装成企业内部合法管理员。
随后,威胁行为者诱骗目标设备启动微软 “快速助手”(一款Windows系统原生工具),这一操作可绕过多数会标记第三方远程访问软件的常规安全管控。一旦建立远程访问连接,攻击者便会着手投放恶意载荷。
该攻击活动由SpiderLabs安全分析师率先发现,分析师指出,此类攻击已明显转向利用受信任的系统内置实用工具来实施入侵。
该攻击活动的危害性极大,原因在于其主要依赖社会工程学手段,而非软件漏洞发起攻击。攻击者通过.NET恶意软件封装器,可直接在内存中执行代码,最大程度减少在终端设备上留下的取证痕迹。这种无文件攻击方式给传统的事件响应工作带来极大阻碍,因为磁盘上可供调查人员分析的攻击遗留痕迹极少。
此次攻击的核心是一条复杂的感染链路,涉及一个.NET Core 8.0可执行文件。名为updater.exe的恶意文件充当着嵌入式库 loader.dll 的封装载体。
该加载器在执行后,会先与位于jysync [.] info的命令与控制服务器建立连接,获取特定加密密钥。这些密钥对后续阶段至关重要 —— 恶意软件会凭借密钥下载加密的载荷文件。解密过程结合了AES-CBC算法与XOR运算,以此解锁恶意程序集。
尤为关键的是,解密后的代码绝不会写入磁盘,而是通过.NET反射技术直接加载至系统内存中,从而实现极高的驻留性与隐蔽性。
部分信息来源网络,如有侵权请联系删除
- 下一篇: 资讯:黑五成“黑色诈骗日”,网络诈骗激增
