【安全资讯】以COVID-19为主题的网络钓鱼活动

安恒威胁情报中心 2021-09-01 14:16:39 254人浏览

引言

自2021年6月下旬以来,与COVID-19相关的威胁有所增加,攻击者利用了受害者对新冠肺炎Delta变体的兴趣,传播恶意软件,包括 Formbook、Ave Maria和RustyBuer。 此外,研究人员还观察到多起与 COVID-19 相关的网络钓鱼活动,企图窃取全球数千家组织的 Microsoft 凭证。

简况

2020年1月,以分发Emotet闻名的TA542组织首次在电子邮件攻击活动中使用 COVID-19相关诱饵,此后,与疫情相关的攻击互动持续增加。2021年春季和初夏期间,以 COVID-19 为主题的攻击活动处于停滞状态,近几个月来利用 COVID-19 主题的邮件数量又开始显着增加。研究人员观察到多起与 COVID-19 相关的网络钓鱼活动,企图窃取全球数千家组织的 Microsoft 凭证。这些邮件伪装成目标实体的人力资源部门发送的疫苗接种报告。电子邮件来自:“HR@[organizationname.tld]”<发件人> ,主题为Covid-19 疫苗接种报告。 这些消息包含一个 URL,该 URL 可能会指向旨在收集用户凭据的虚假 Microsoft 身份验证页面。 邮件如下:

在传播Formbook恶意软件的活动中,攻击者伪装成hr,通知收件人,由于 COVID-19 的财务影响,他们的工作正在被取消。 这些电子邮件包含一个压缩文件(例如 Scan.Salary.zip),电子邮件是通用的,但针对目标组织进行了定制。为了进一步诱使收件人打开恶意文件,该电子邮件附有“2 个月工资收据”。这些电子邮件包含恶意的 .ZIP 附件,执行后会安装 Formbook 恶意软件。该活动针对广泛的组织,包含 7,000 多封电子邮件。

 

利用COVID-19信息传播Ave Maria恶意软件的活动主要针对能源和工业组织。Ave Maria 是一种用 C++ 编写的远程访问木马,能够控制网络摄像头、键盘记录、密码窃取和远程桌面访问。所有观察到的 Ave Maria COVID-19 主题邮件都包含一个 Excel 附件,附件利用了各种公式编辑器漏洞。其中一个电子邮件正文包含目标实体独有的电子邮件,例如healthcare@[targetcompany].com。电子邮件的内容声称附件中包含新型冠状病毒的预防措施。此外,这些电子邮件包含 COVID-19 病例、死亡人数和接种的疫苗剂量。

 

目前,最活跃的COVID-19相关的威胁之一是RustyBuer,传播RustyBuer的电子邮件包含受密码保护的压缩 Microsoft Excel附件和宏,如果启用,将下载并执行 RustyBuer。这些邮件不会模仿官方通知,而且通常没有语法意义,但是所使用的语言和图形向收件人暗示了紧迫性,可能会诱使他们点击附件。分发RustyBuer的COVID-19 主题邮件如下:

总结

随着Delta变体的出现,利用新冠疫情为主题的攻击活动也会增加。在人们对感染率和新冠疫情保护措施的兴趣仍然很高的情况下,更多的攻击者可能会使用该病毒作为诱饵展开攻击活动。

失陷指标(IOC)28
钓鱼攻击 Formbook Ave Maria RustyBuer 凭证窃取 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。