钓鱼活动战术与载荷
8月18日,微软威胁情报检测到一起利用被入侵小型企业邮箱分发钓鱼邮件的活动。攻击者采用自寻址邮件策略(发件人与收件人地址相同),实际目标隐藏在密送字段中以规避基础检测。
邮件内容伪装成文件共享通知,附带名为“23mb – PDF- 6 pages.svg”的SVG文件。SVG文件因其文本可脚本特性成为攻击载体,支持嵌入JavaScript和动态内容。
当用户打开SVG文件时,会跳转至要求完成CAPTCHA验证的页面。分析发现该SVG采用独特混淆手法:
- 文件开头伪装成商业分析仪表盘,但通过透明度设置为完全不可见
- 恶意功能通过商业术语(如revenue、operations等)编码在隐藏的SVG元素中
- 内嵌JavaScript通过转换商业术语重建恶意功能,包括重定向和浏览器指纹识别
利用AI分析攻击活动
Security Copilot分析指出该代码极可能由大语言模型生成,主要依据:
- 过度描述性命名(如processBusinessMetricsf43e08)
- 模块化过度设计的代码结构
- 通用格式化注释
- 公式化混淆技术
- 非常规使用CDATA和XML声明
利用AI检测攻击活动
Microsoft Defender for Office 365通过多维度信号检测此类攻击:
- 攻击基础设施分析(可疑域名特征)
- 战术技术流程(重定向、CAPTCHA验证)
- 冒充策略(伪造文件共享通知)
- 邮件上下文和投递模式
检测信号包括:自寻址邮件、可疑文件类型、恶意域名重定向、代码混淆特征以及异常网络行为。
防护建议
- 配置Microsoft Defender for Office 365链接点击时重新检查
- 启用零小时自动清除功能
- 部署Microsoft Defender SmartScreen防护
- 实施钓鱼抵抗认证方法
- 配置Entra ID条件访问增强安全性
威胁指标
| 指标 | 类型 | 描述 | 首次出现 |
|---|---|---|---|
| kmnl[.]cpfcenters[.]de | 域名 | 托管钓鱼内容的域名 | 2025年8月18日 |
| 23mb – PDF- 6 Pages[.]svg | 文件名 | SVG附件文件名 | 2025年8月18日 |