网络安全公司Trellix发现了一种新的网络活动,该活动通过伪装成合法的Chrome浏览器更新来利用毫无戒心的受害者。该欺骗性计划采用了一种名为NetSupport Manager RAT的恶意远程管理工具(RAT),允许威胁行为者未经授权访问受害者的计算机并夺取控制权。
假冒Chrome浏览器更新诈骗:Trellix揭露了一个利用假冒Chrome浏览器更新将NetSupport Manager潜入受害者计算机的方案,从而授予网络犯罪分子控制权和数据访问权限。
可能的SocGholish联系:虽然与SocGholish类似,但工具的差异引起了人们对直接联系的怀疑,凸显了不断变化的策略。
受感染的网站作为启动板:受感染的网站充当攻击的启动板,影响包括政府和金融在内的各个部门。
RAT的欺骗性路径:受害者上当受骗,在不知不觉中下载恶意JavaScript文件“Browser_portable.js”,从而激活 NetSupport Manager。
迫切需要保持警惕:Trellix的发现强调了全球威胁情报和先进安全解决方案在应对不断变化的网络威胁方面的至关重要性。
Trellix高级研究中心发现了与之前报道的SocGholish活动惊人的相似之处,尽管确切的联系仍然难以捉摸。然而,这两项运动之间的具体联系仍然很少。
该活动于2023年6月下旬曝光,利用受感染的网站作为提供欺诈性Chrome更新的平台。受害者被引诱下载并安装虚假更新,无意中邀请NetSupport Manager RAT进入他们的系统。该恶意软件允许网络犯罪分子窃取敏感信息并操纵受害者计算机以获取自身利益。
该活动的作案手法包括向受感染的网站注入精心设计的HTML脚本标签,该标签从攻击者的命令和控制服务器检索JavaScript内容。
这种看似自动化的技术取决于毫无戒心的受害者落入虚假浏览器更新诡计的情况。该计划的成功在很大程度上依赖于受感染网站的普遍存在。
Trellix研究人员发现了该活动渗透到商会网站的证据,该网站的流量来自政府实体、金融机构和咨询服务。尽管该网站已清除了注入的脚本,但它至少在一天内遭受了损害。
当受害者在受感染的网站上遇到注入的脚本时,欺骗之旅就开始了,引导他们进入虚假的浏览器更新页面。这种引导用户无意中安装NetSupport RAT的操作并不新鲜;类似的策略在过去的SocGholish活动中也有记录。
然而,当前活动中使用的工具与SocGholish不同。SocGholish利用具有WMI功能的PowerShell来促进RAT下载和安装。相比之下,当前的攻击活动利用批处理文件(.BAT)、VB脚本和Curl工具来执行恶意操作。这些不同工具的使用凸显了网络犯罪分子不断变化的策略。
如果受害者屈服于虚假浏览器更新的诱惑并点击“更新 Chrome”链接,则会启动下载名为“UpdateInstall.zip”的ZIP存档,其中包含恶意JavaScript文件“Browser_portable.js”。该脚本充当攻击后续阶段的下载程序。
通过下载的7-zip实用程序提取NetSupport Manager RAT后,将通过计划任务执行,并由“2.bat”批处理文件编排。此外,该批处理文件还使RAT具有持久性,确保系统启动时自动执行。
RAT的恶意配置文件(“client32.ini”)显示网关地址设置为5.252.178.48。此时,随着RAT牢固地扎根于受害者的系统中,威胁行为者拥有实质性控制权,使他们能够执行进一步的恶意软件部署、数据泄露、网络侦察和横向移动。
总之,这次活动提醒人们,威胁行为者不断利用成功的技术来推进他们的恶意议程。熟悉的诱饵的部署,例如虚假的浏览器更新,强调了这些攻击的持久性。
RAT的激增虽然并不总是更新,但展示了它们对网络犯罪分子的持久效用。随着攻击者采用越来越复杂的策略,检测的挑战也随之加剧。使用VBScript和Batch脚本等本机Windows脚本语言与Curl等工具相结合,体现了它们的适应性和创新性。
Trellix高级研究中心高级副总裁Joseph Tal警告说,这些NetSupport RAT攻击的盛行凸显了对全面的全球威胁情报和创新安全解决方案的需求。
Verimatrix安全与威胁研究高级副总裁Klaus Schenk博士对此发表评论时表示,“有关威胁行为者利用虚假Chrome浏览器更新来传播NetSupport Manager远程访问木马的报告令人担忧。虽然滥用浏览器更新的攻击媒介很常见,但这一特定活动因其复杂性和针对性而引人注目。SocGholish组织以符合俄罗斯国家利益的网络间谍活动而闻名,这使得这一威胁成为高度优先的威胁。“
虽然此次攻击与SocGholish相关的细节尚无定论,但Trellix的检查似乎可靠。威胁行为者显然花了很多时间利用Chrome的市场主导地位来制作可信的诱惑。我建议稍等一下,看看这种攻击是否会出现,但最好优先考虑事件响应和用户教育,以检测和减轻这种威胁。”塔尔补充道。
“尽管用户仍然必须单击恶意链接,但这种攻击的复杂性使其有可能逃避防御。我们应该继续监控新的发展,但组织应该迅速采取行动,强化系统,更新浏览器,并向人员通报这一威胁,”塔尔建议。
然而,不断变化的威胁形势需要采取主动且全面的网络安全方法,特别是随着越来越多的企业依赖基于Chromium的浏览器来运行其Web应用程序。
评论已关闭。