攻击者滥用 Velociraptor 取证工具部署 Visual Studio Code 进行 C2 隧道攻击
网络安全研究人员披露,未知威胁者在攻击中滥用开源取证工具 Velociraptor,通过 msiexec 从 Cloudflare Workers 域下载并安装该工具,再利用编码 PowerShell 下载并运行 Visual Studio Code 建立隧道,实现远程控制,显示合法安全工具被恶意利用的新趋势。与此同时,攻击者还利用 Microsoft Teams 假冒 IT 帮助台,诱导受害者安装远程访问工具或输入凭证,以传播恶意软件。另有恶意广告活动结合 ADFS 重定向至伪造的 Microsoft 365 登录页面窃取凭据,凸显企业协作与身份安全风险持续上升。
网络安全研究人员呼吁关注一次网络攻击,此次攻击中未知威胁行为者部署了一种名为Velociraptor的开源端点监控和数字取证工具,这表明合法软件正被持续滥用于恶意目的。
Sophos 反威胁部门研究团队在本周发布的一份报告中表示: “在这起事件中,威胁行为者使用该工具下载并执行 Visual Studio Code,很可能是为了创建通往攻击者控制的命令与控制 (C2) 服务器的隧道。”
虽然已知威胁行为者在攻击中采用离地攻击 (LotL) 技术或利用合法的远程监控和管理 (RMM) 工具,但使用 Velociraptor 标志着战术的演变,即使用事件响应程序来获取立足点并尽量减少部署自己的恶意软件的需要。
网络安全
对该事件的进一步分析表明,攻击者使用 Windows msiexec 实用程序从 Cloudflare Workers 域下载 MSI 安装程序,该域作为他们使用的其他工具的集结地,包括 Cloudflare 隧道工具和称为 Radmin 的远程管理实用程序。
该 MSI 文件旨在安装 Velociraptor,然后与另一个 Cloudflare Workers 域建立连接。然后,攻击者利用该访问权限,使用编码的 PowerShell 命令从同一暂存服务器下载 Visual Studio Code,并在启用隧道选项的情况下执行源代码编辑器,从而允许远程访问和远程代码执行。
我们还观察到威胁行为者再次利用 msiexec Windows 实用程序从 workers[.]dev 文件夹下载其他有效负载。
Sophos 表示:“各组织机构应监控并调查 Velociraptor 的未经授权使用行为,并将此类攻击视为勒索软件的前兆。部署端点检测和响应系统,监控意外工具和可疑行为,并遵循保护系统和生成备份的最佳实践,可以减轻勒索软件威胁。”
此次披露正值网络安全公司Hunters和Permiso披露一项利用 Microsoft Teams 进行初始访问的恶意活动之际,这反映出威胁行为者越来越多地利用该平台在企业通信中值得信赖且根深蒂固的角色来部署恶意软件。
这些攻击始于威胁行为者使用新创建或受感染的租户向目标发送直接消息或发起呼叫,冒充 IT 帮助台团队或其他受信任联系人来安装远程访问软件(如 AnyDesk、DWAgent 或 Quick Assist),并控制受害者系统以传播恶意软件。
虽然自 2024 年中期以来,涉及远程访问工具的类似技术已与 Black Basta 等勒索软件组织联系起来,但这些较新的活动放弃了初步的电子邮件轰炸步骤,最终利用远程访问来传递 PowerShell 有效负载,该负载具有通常与凭证盗窃、持久性和远程代码执行相关的功能。
Permiso 研究员 Isuf Deliu 表示:“用于发起互动的诱饵经过精心设计,看起来平常且不起眼,通常被描述为与 Teams 性能、系统维护或一般技术支持相关的 IT 协助。这些场景旨在融入日常企业沟通的背景中,从而降低引发怀疑的可能性。”
值得注意的是,过去一年中,类似的策略也被用来传播诸如DarkGate和Matanbuchus等恶意软件家族。
这些攻击还利用 Windows 凭证提示,以良性系统配置请求为幌子诱骗用户输入密码,然后收集密码并将其保存到系统上的文本文件中。
安全研究人员 Alon Klayman 和 Tomer Kachlon 表示:“Microsoft Teams 网络钓鱼不再是一种边缘技术,而是一种活跃的、不断演变的威胁,可以绕过传统的电子邮件防御并利用对协作工具的信任。”
“通过监控 ChatCreated 和 MessageSent 等审计日志,用上下文数据丰富信号,并培训用户发现 IT/帮助台冒充行为,SOC 团队可以在这一新漏洞被利用之前将其堵住。”
身份安全风险评估
这一发现还发现了一种新型恶意广告活动,该活动将合法的 office[.]com 链接与 Active Directory 联合身份验证服务 ( ADFS ) 相结合,将用户重定向到能够收集登录信息的 Microsoft 365 网络钓鱼页面。
简而言之,攻击链始于受害者点击搜索引擎结果页面上的恶意赞助链接,触发重定向链,最终将他们引导至模仿微软的虚假登录页面。
Push Security 的 Luke Jennings表示: “事实证明,攻击者已经设置了一个自定义的 Microsoft 租户,并配置了 Active Directory 联合身份验证服务 (ADFS)。这意味着 Microsoft 将执行到自定义恶意域的重定向。”
“虽然这本身并不是一个漏洞,但攻击者能够添加自己的 Microsoft ADFS 服务器来托管他们的钓鱼页面并让 Microsoft 重定向到该页面,这是一个令人担忧的发展,它将使基于 URL 的检测比现在更具挑战性。”
关于作者
评论0次