【安全资讯】被入侵的凭证：新网络攻击利用行业邮箱账户

概要：

Proofpoint的研究人员发现了一场针对北美交通和物流公司发动的攻击。攻击者利用合法公司的电子邮件账户，并使用高级社会工程学策略将恶意软件发送给毫无戒心的收件人。这次攻击从2024年5月开始，攻击者逐步演变其战术，使得攻击更具威胁性。

主要内容：

这次网络攻击首先通过入侵交通和物流公司的真实电子邮件账户，注入恶意内容到正在进行的对话中，从而提高收件人信任和互动的可能性。据Proofpoint报道，至少已有15个被入侵账户被用于这次攻击。

最初，这些攻击者使用了Lumma Stealer, StealC, 和NetSupport等恶意软件。然而，到2024年8月，攻击者开始部署DanaBot和Arechclient2，并使用新基础设施和交付方法。大多数攻击利用Google Drive URL引导受害者下载互联网快捷方式文件（.URL）。这些文件一旦执行，将利用SMB协议从远程共享中检索并安装恶意软件。

另一种被称为“ClickFix”的策略则诱骗用户复制并运行Base64编码的PowerShell脚本，最终安装恶意软件。攻击者主要假扮与运输和物流相关的软件，如Samsara, AMB Logistic和Astra TMS，这些软件在车队运营管理中广泛使用，使假冒行为更加可信。Proofpoint评估这次攻击的动机是出于金融利益，这与当前网络犯罪趋势一致。这些攻击者使用的是商品化的恶意软件，部署方便，允许他们专注于优化初始访问和社会工程学策略。