钓鱼攻击手法与载荷分析
8月18日,微软威胁情报团队检测到一起利用被入侵的小型企业邮箱分发钓鱼邮件的攻击活动。攻击者采用自寻址邮件策略(发件人和收件人地址相同),实际目标隐藏在密送字段中,试图绕过基础检测机制。
邮件内容伪装成文件共享通知,附带名为"23mb – PDF- 6 pages.svg"的文件。虽然文件扩展名显示为SVG(可缩放矢量图形),但被设计成看似合法的PDF文档。SVG文件因其基于文本、支持脚本的特性,允许攻击者直接嵌入JavaScript等动态内容。
独特混淆技术分析
该SVG文件采用两种创新方式隐藏恶意行为:
-
虚假业务仪表板伪装:文件开头包含看似合法的"业务绩效仪表板"元素,但通过设置透明度和填充色使其完全不可见,作为诱饵迷惑检查者。
-
商业术语编码:恶意载荷使用一系列商业术语(如revenue、operations、risk等)进行编码,这些术语被连接成隐藏的数据分析属性。内嵌JavaScript通过多步转换过程,将商业术语对映射为特定字符或指令,最终重构出隐藏功能。
AI生成代码特征分析
通过Security Copilot分析,发现代码具有以下AI生成特征:
- 过度描述性命名(如processBusinessMetricsf43e08)
- 模块化过度设计的代码结构
- 通用化注释语言
- 公式化混淆技术
- 非常规使用CDATA和XML声明
检测与防护机制
Microsoft Defender for Office 365通过多维度信号成功检测并拦截该攻击:
- 攻击基础设施分析(可疑域名特征)
- 行为模式识别(重定向、CAPTCHA验证)
- 消息上下文分析(自寻址邮件、密送使用)
- 文件类型异常(SVG伪装成PDF)
防护建议
- 配置Exchange Online Protection和Microsoft Defender for Office 365推荐设置
- 启用安全链接实时检查功能
- 开启零小时自动清除(ZAP)功能
- 推广使用支持SmartScreen的浏览器
- 部署Microsoft Entra增强安全配置
- 实施钓鱼抵抗认证方法
威胁指标(IOC)
| 指标 | 类型 | 说明 | 首次出现 |
|---|---|---|---|
| kmnl.cpfcenters.de | 域名 | 托管钓鱼内容的域名 | 2025年8月18日 |
| 23mb – PDF- 6 Pages.svg | 文件名 | SVG附件文件名 | 2025年8月18日 |
该案例表明,虽然攻击者开始利用AI增强攻击能力,但基于基础设施、行为模式和上下文的多维度检测机制仍能有效防护AI驱动的威胁。