一个名为“Voldemort”的复杂恶意软件活动通过冒充欧洲、亚洲和美国的税务机关来针对全球组织。
根据 Proofpoint 的一份报告,这种恶意活动已经影响了全球数十个组织,自 8 月 5 日开始以来,已报告了 20,000 多封网络钓鱼邮件。
该恶意软件是用 C 语言编写的自定义后门程序,旨在用于数据泄露和部署额外的恶意负载。
该攻击利用 Google 表格进行命令和控制 (C2) 通信以及带有恶意 Windows 搜索协议的文件。一旦受害者下载了恶意软件,它就会使用合法版本的 WebEx 软件加载与 C2 服务器通信的 DLL。
伏地魔变身税务机关
研究人员表示,该活动在 8 月 17 日显著升级,当时一天内发送了近 6,000 封网络钓鱼电子邮件,主要冒充税务机构。
其中包括美国国内税务局(IRS),英国的英国皇家税务海关总署,以及法国的公共财政总署等。每封网络钓鱼电子邮件都是用相应税务机关的母语制作的,为诱饵增加了一层可信度。
这些电子邮件来自似乎遭到入侵的域名,其中包括税务机构的合法域名,以进一步增强其真实性。
该报告指出,该活动的最终目标尚不清楚,但 Proofpoint 研究人员表示,鉴于伏地魔的情报收集能力和部署额外有效载荷的潜力,他们认为这可能旨在进行间谍活动。
Google 用户极易受到恶意咒语的攻击
Qualys 威胁研究部门的安全研究经理 Mayuresh Dani 表示,在其生态系统中使用 Google 的组织更有可能面临 Voldemort 的风险,因为该公司的平台将位于允许列表中。
“除非组织监控流向指定 [入侵指标] 的流量,否则这些攻击在很大程度上不会受到关注,”他指出。
Dani 解释说,这是一种在 MITRE ATT&CK 框架中标识为 T1567.002 的已知技术,并建议组织监控与非浏览器进程相关的云服务的网络连接,以及与云服务的大量网络连接。
与此同时,DoControl 的联合创始人兼 CRO Omri Weinberg 表示,验证政府通信的真实性具有挑战性,尤其是考虑到这些冒充行为的说服力。
“组织应该建立明确的协议来处理敏感请求或通知,尤其是与财务事务相关的请求或通知,”他解释说。“这可能包括在采取行动之前始终通过单独的已知良好渠道进行验证。”
他补充说,对员工进行此类冒充攻击的教育至关重要。
“他们应该知道对未经请求的通信持怀疑态度,尤其是那些制造紧迫感的通信,”他说。
虽然实施 DMARC 和其他电子邮件身份验证协议可以帮助过滤掉一些欺骗性电子邮件,但 Weinberg 强调,用户意识仍然是关键。
安全最佳实践是一种很好的防御魅力
Sectigo 高级研究员 Jason Soroko 表示,公司可以通过增强电子邮件过滤系统并培训员工识别和报告可疑电子邮件来防范个性化的网络钓鱼攻击。
他还建议采用强大的多因素身份验证 (MFA),并定期更新和审计公开可用信息的可见性,以减少暴露。
“组织还应采用先进的端点检测和响应工具,实施严格的网络分段,定期应用安全补丁,监控异常行为,并实施强大的数据加密实践来保护敏感信息,”他补充道。
最后,他强调说,实施包括 DMARC、SPF 和 DKIM 在内的电子邮件身份验证协议也有助于防止基于模拟的攻击,以及用于确保组织内电子邮件发件人身份合法性的 S/MIME 证书。
发表评论
您还未登录,请先登录。
登录