钓鱼攻击手法与载荷分析
8月18日,微软威胁情报团队检测到一起利用遭入侵的小型企业邮箱分发恶意钓鱼邮件的攻击活动。攻击者采用自寻址邮件策略(发件人和收件人地址相同),实际目标被隐藏在密送字段中,试图绕过基础检测机制。
邮件内容伪装成文件共享通知,附带名为"23mb – PDF- 6 pages.svg"的文件。虽然文件扩展名显示为SVG,但设计成看似合法的PDF文档。SVG文件因其基于文本和可编写脚本的特性,允许攻击者直接嵌入JavaScript和其他动态内容。
当用户打开SVG文件时,会重定向到要求完成CAPTCHA验证的网页,这是建立信任和延迟怀疑的常见社交工程手段。验证后很可能呈现虚假登录页面以窃取凭证。
独特的混淆技术
分析发现该SVG代码采用独特的混淆方法:
-
商业仪表板伪装:代码开头被构造为合法的商业分析仪表板,包含业务绩效仪表板元素,但通过设置透明度和填充色使其完全不可见。
-
商业术语编码:恶意功能使用一系列商业术语(如收入、运营、风险等)进行编码,这些术语被连接成SVG内不可见
元素的隐藏数据分析属性。嵌入的JavaScript通过多个转换步骤处理这些商业术语,将术语序列映射到特定字符或指令,重建隐藏功能。
AI参与攻击的分析
鉴于独特的混淆方法,安全团队假设攻击者可能使用AI辅助。Microsoft Security Copilot分析认为代码极有可能是由LLM生成的,主要依据:
- 过度描述性命名:函数和变量名称采用描述性英语术语连接随机十六进制字符串的固定模式
- 模块化过度工程结构:代码高度模块化,具有清晰的责任分离
- 通用注释:注释冗长、通用,使用正式商业语言
- 公式化混淆技术:混淆技术实施方式既彻底又公式化
- 异常使用CDATA和XML声明:包含XML声明和CDATA包装脚本
AI驱动的检测机制
尽管攻击者使用AI进行混淆,Microsoft Defender for Office 365的AI保护系统仍成功检测并阻止了该活动。检测信号包括:
- 攻击基础设施分析:可疑域名特征和托管行为
- TTPs识别:重定向使用、CAPTCHA门控、会话跟踪
- 冒充策略检测:伪装文档共享、模仿文件共享通知
- 消息上下文和传递模式:自寻址邮件、密送使用
防护建议
微软威胁情报团队推荐以下防护措施:
- 配置Exchange Online Protection和Microsoft Defender for Office 365推荐设置
- 启用安全链接实时URL检查
- 开启零小时自动清除功能
- 鼓励使用支持Microsoft Defender SmartScreen的浏览器
- 启用云提供的保护功能
- 配置增强的Microsoft Entra安全设置
- 实施钓鱼抵抗认证方法
威胁指标
| 指标 | 类型 | 描述 | 首次出现 | 最后出现 |
|---|---|---|---|---|
| kmnl[.]cpfcenters[.]de | 域名 | 托管钓鱼内容的域名 | 2025年8月18日 | 2025年8月18日 |
| 23mb – PDF- 6 Pages[.]svg | 文件名 | SVG附件文件名 | 2025年8月18日 | 2025年8月18日 |