网络钓鱼活动战术与负载
2024年8月18日,微软威胁情报检测到一起利用被入侵小型企业邮箱分发恶意网络钓鱼邮件的活动,旨在窃取用户凭证。攻击者采用自地址邮件策略,发件人和收件人地址相同,实际目标隐藏在密送字段中,试图绕过基础检测启发式规则。
邮件内容伪装成文件共享通知,附带名为"23mb – PDF- 6 pages.svg"的文件,虽然文件扩展名显示为SVG,但设计成看似合法的PDF文档。SVG文件因其基于文本和可编写脚本的特性,允许在文件中直接嵌入JavaScript和其他动态内容,这对攻击者极具吸引力。
SVG负载分析
打开SVG文件后,会将用户重定向到一个要求完成验证码的网页,这是建立信任和延迟怀疑的常见社交工程策略。虽然由于活动被检测和阻止,我们仅能观察到初始着陆页面,但该活动极有可能在验证码后呈现虚假登录页面以收集凭证。
对SVG代码的分析发现其使用了独特的混淆方法:
商业仪表板伪装
SVG代码开头被构造为看似合法的商业分析仪表板,包含所谓的"业务绩效仪表板"元素,包括图表条和月份标签。然而,这些元素通过将不透明度设为零和填充设为透明,对用户完全不可见。
商业术语编码
攻击者使用一系列商业相关术语(如收入、运营、风险、股份)编码恶意负载,这些术语被连接成SVG内不可见
使用AI分析活动
考虑到混淆SVG负载功能的独特方法,我们假设攻击者可能使用了AI辅助。安全副驾驶分析表明,该代码极有可能是合成的,很可能由LLM或使用LLM的工具生成。分析提供了五个关键指标支持此结论:
- 过度描述和冗余命名 - 函数和变量名称遵循描述性英语术语与随机十六进制字符串连接的一致模式
- 模块化和过度设计的代码结构 - 代码结构高度模块化,关注点分离清晰
- 通用注释 - 注释冗长、通用,使用正式商业语言
- 公式化混淆技术 - 混淆技术实施方式既彻底又公式化
- 异常使用CDATA和XML声明 - 包含XML声明和CDATA包装脚本
使用AI检测活动
虽然使用AI混淆网络钓鱼负载可能看似攻击者复杂性的重大飞跃,但AI并未根本上改变安全系统依赖的核心工件来检测网络钓鱼威胁。Microsoft Defender for Office 365使用AI和机器学习模型,设计用于识别跨多个维度的模式,而不仅仅是负载本身。
检测信号包括:
- 攻击基础设施(如可疑域特征、托管行为)
- 战术、技术和程序(如使用重定向、验证码门、会话跟踪)
- 冒充策略(如假装共享文档、模仿文件共享通知)
- 消息上下文和传递模式(如自地址邮件、密送使用、不匹配的发送者/接收者行为)
尽管使用了AI混淆SVG负载,该活动仍通过基础设施分析、行为指标和消息上下文的组合被Microsoft Defender for Office 365的检测系统阻止。
建议措施
微软威胁情报推荐以下缓解措施,对包括可能使用AI生成代码的各种网络钓鱼威胁有效:
- 查看Exchange Online Protection和Microsoft Defender for Office 365的推荐设置
- 配置Microsoft Defender for Office 365以在点击时重新检查链接
- 在Defender for Office 365中开启零小时自动清除
- 鼓励用户使用支持Microsoft Defender SmartScreen的浏览器
- 在Microsoft Defender防病毒中开启云提供的保护
- 配置具有增强安全性的Microsoft Entra
- 试点和部署抗网络钓鱼身份验证方法
威胁指标
| 指标 | 类型 | 描述 | 首次发现 | 最后发现 |
|---|---|---|---|---|
| kmnl[.]cpfcenters[.]de | 域名 | 托管网络钓鱼内容的域名 | 2024年8月18日 | 2024年8月18日 |
| 23mb – PDF- 6 Pages[.]svg | 文件名 | SVG附件的文件名 | 2024年8月18日 | 2024年8月18日 |