本文轉(zhuǎn)載自公眾號“安數(shù)網(wǎng)絡(luò)”（anshunet）。

據(jù)有關(guān)網(wǎng)絡(luò)安全專家稱，自2020年5月起，他們就一直在跟蹤針對高級公司高管的網(wǎng)絡(luò)釣魚活動。黑客在網(wǎng)絡(luò)釣魚頁面中再次使用了受感染的主機(jī)，通過偽造虛假的Office 365密碼到期報告，竊取了上千個公司員工的憑據(jù)。

該活動主要針對金融，政府，制造業(yè)，房地產(chǎn)和技術(shù)等領(lǐng)域。在日本，美國，英國，加拿大，澳大利亞和幾個歐洲國家均出現(xiàn)了受害者。

迄今為止，已識別出300多個特殊的URL，以及來自八個受感染網(wǎng)站的70個電子郵件地址。其中，包括40份公司CEO、董事、公司創(chuàng)始人、所有者的合法郵件地址，以及其他企業(yè)員工的電子郵件地址。

作為誘餌，黑客使用了虛假的Office 365密碼過期報告，要求受害者單擊嵌入式鏈接，稱該鏈接允許他們繼續(xù)使用相同的密碼。但是，一旦潛在的受害者單擊“保留密碼”選項(xiàng)，他們就會被帶到網(wǎng)絡(luò)釣魚頁面。攻擊者正在使用受損的基礎(chǔ)架構(gòu)和受害者的帳戶憑據(jù)來托管網(wǎng)絡(luò)釣魚頁面，并還在針對更多受害者。

作為攻擊的一部分，黑客使用了去年首次詳細(xì)描述的網(wǎng)絡(luò)釣魚工具，該工具被用于假冒Microsoft登錄頁面的類似攻擊中。該工具包可供出售，也可讓網(wǎng)絡(luò)罪犯驗(yàn)證被盜的憑證的詳細(xì)信息和準(zhǔn)確性。

與此同時，專家還發(fā)現(xiàn)，黑客正在出售公司CEO，首席財務(wù)官(CFO)和財務(wù)部門成員等人的Office 365賬戶的失竊憑據(jù)。這些帖子在多個使用英語和俄語的論壇中被看到。值得注意的是，使用俄語的論壇上的所有帖子都是用英語完成的，并使用的是最近注冊的賬戶。在具體信息頁面還提供了受損的office 365 賬戶憑據(jù)以及員工各自的公司職位。

此活動中的大多數(shù)網(wǎng)絡(luò)釣魚電子郵件都是使用FireVPS的虛擬專用服務(wù)器(VPS)發(fā)送的，該公司為客戶提供各種Windows遠(yuǎn)程桌面協(xié)議(RDP)計劃。

此次網(wǎng)絡(luò)釣魚工具包似乎是類似工具的第四次迭代版，它還包括大量的IP地址范圍和域名列表，旨在阻止安全公司和大型云提供商訪問，可能是為了逃避檢測，因?yàn)樵撉鍐伟ㄔS多網(wǎng)絡(luò)安全和技術(shù)公司。

對來自配置錯誤站點(diǎn)中所收集的日志文件中的數(shù)據(jù)分析表明，竊取的憑據(jù)來自撰寫本文時托管惡意Office 365 V4工具包的八個受感染的釣魚網(wǎng)站。我們發(fā)現(xiàn)每個站點(diǎn)可能都是由不同的黑客針對規(guī)模和范圍不同的網(wǎng)絡(luò)釣魚活動而建立的。一項(xiàng)活動僅針對美國公司首席執(zhí)行官，總裁和創(chuàng)始人，而另一項(xiàng)活動針對來自美國，英國，加拿大，匈牙利，荷蘭和以色列等不同國家的董事和經(jīng)理。此外，黑客似乎大多從LinkedIn收集了目標(biāo)電子郵件地址。

美國公司CEO的電子郵件地址顯然是此活動的主要目標(biāo)，而其他人則使用相同的網(wǎng)絡(luò)釣魚工具。此類電子郵件使黑客可以進(jìn)行進(jìn)一步的網(wǎng)絡(luò)釣魚，破壞敏感信息以及進(jìn)行商業(yè)電子郵件泄露(BEC)和其他社會工程攻擊。

網(wǎng)絡(luò)釣魚攻擊和黑客通常以員工為目標(biāo)，員工通常是組織安全鏈中最薄弱的環(huán)節(jié)。有選擇地對公司高管進(jìn)行釣魚攻擊，黑客可以大大提高獲得的憑據(jù)的價值，因?yàn)樗鼈兛赡軐?dǎo)致對敏感的個人和組織信息進(jìn)一步訪問，并用于其他攻擊。

參考鏈接：

https://www.trendmicro.com/en_us/research/21/a/fake-office-365-used-for-phishing-attacks-on-c-suite-targets.html