针对130多个美国组织的复杂VPN网络钓鱼和语音钓鱼活动使用电话和短信等社会工程手段窃取凭证。威胁者冒充IT人员，引导受害者进入虚假登录页面以获取网络访问权限。

GuidePoint研究与情报团队(GRIT)的网络安全研究人员发现了一项复杂的网络钓鱼活动，该活动针对各行各业的130多家美国组织。该活动采用了高效的社会工程策略，威胁行为者冒充IT支持人员，诱骗员工透露他们的VPN凭据。

攻击始于向员工的私人手机拨打电话（语音钓鱼或语音网络钓鱼攻击）。攻击者冒充公司服务台或IT团队的成员，声称正在协助解决VPN登录问题。建立信任后，攻击者会向受害者发送一条短信，其中包含指向虚假VPN登录页面的链接，该页面旨在模仿目标组织的合法VPN门户。

这些虚假的登录页面通过列出公司使用的真实VPN组来使之看起来令人信服。有时，攻击者甚至会创建“TestVPN”和“RemoteVPN”等虚假VPN组，以使这一伎俩更加可信。

一旦用户输入其凭证（包括任何多因素身份验证(MFA)令牌），他们就会被重定向到合法的VPN门户。这最后一步旨在向用户保证问题已得到解决，而攻击者则成功获取了他们的登录信息。

一旦他们通过受损的VPN凭证获得网络访问权限，他们就会立即开始扫描易受攻击的系统以扩大访问权限、建立持久性并提升权限。

GRIT在发布之前分享的报告表明，攻击者是出于经济动机。他们的最终目标是窃取敏感数据、破坏备份并部署勒索软件以扰乱运营并索要赎金。

GRIT研究人员还确定了与该活动相关的多个域名和IP地址，该活动自2024年6月26日起一直处于活跃状态。这些域名与 CISCO、Fortinet和Palo Alto等目标组织使用的VPN技术非常相似：

fortivpnlink.com
vpnpaloalto.com
ciscoweblink.com
linkwebcisco.com
ciscolinkweb.com
ciscolinkacc.com
ciscoacclink.com
linkciscoweb.com

虽然该报告没有讨论这些威胁行为者的来源或涉及的组织，但值得注意的是，ALPHV勒索软件团伙（又名BlackCat）以使用语音钓鱼攻击而闻名。该组织在此类攻击中成功攻击的目标之一是全球娱乐和酒店业巨头米高梅度假村的一名员工，这导致该组织全球服务中断和其他损失。

对此，Bambenek Consulting总裁John Bambenek表示，使用VPN进行网络钓鱼攻击对企业来说是一种新的、危险的策略。 “利用第三方品牌进行网络钓鱼的技术并不新鲜，但使用VPN是一种新颖且危险得多的方法，”他说。

“这允许攻击者通过将自己置身于受信任的中介来获取未加密的数据，特别是如果他们可以在设备上安装恶意CA。它明确地针对薄弱环节、BYOD和员工的个人设备，并且完全知道企业工具不会检测到这一点。”

尽管如此，为了应对最新的威胁，GRIT建议组织必须检查VPN日志，以查找过去30天内来自VPN分配IP地址的任何可疑活动。如果发现任何异常活动，应进行彻底调查以评估潜在的危害。

此外，最重要的是提高员工的网络安全意识；应该教育员工了解这种类型的社会工程攻击，并鼓励他们及时报告任何自称是IT或服务台工作人员的未知号码的可疑电话。