黑客欺骗社会保障管理局提供 ScreenConnect 远程访问工具

Cofense Intelligence 最近发布了关于社会保障管理局提供 ConnectWise RAT 的身份盗窃活动的紧急警报。简而言之,一封声称来自美国社会保障管理局的企业邮箱包含一个下载 ConnectWise RAT 安装程序的嵌入链接。这场竞选活动特别引人注目,因为它在 2024 年美国总统大选前几周开始,并持续到选举日。然而,活动企业邮箱此后不断发展,现在具有更多误导性的企业邮箱欺骗技术、规避策略和凭证网络钓鱼尝试。这份情报报告旨在提供有关该活动所使用的不断演变的战术、技术和程序 (TTP) 的最新信息,并就该威胁在当前政治气候中的相关性提供额外的深入分析。

活动概述

正如我们之前在紧急警报中指出的,该活动欺骗了美国社会保障管理局,并声称是更新后的福利声明。尽管企业邮箱的具体结构因样本而异,但该活动始终提供 ConnectWise RAT 安装程序的嵌入式链接。嵌入的链接通常是不兼容的链接,不会导致以纯文本形式显示的网站,并且某些活动企业邮箱实例会嵌入带有“显示声明”按钮的链接。该活动的早期迭代使用 ConnectWise 基础设施上托管的中继服务器作为其 C2,但后来的示例使用动态 DNS 服务或由不良行为者托管的各种域。

Cofense Intelligence 于 2024 年 9 月 16 日首次观察到这一社会保障管理局欺骗活动,但这个样本只是一个孤立的例子,直到 2024 年 10 月 15 日发现另一个样本。不久之后,又发送了更多企业邮箱,频率从开始到中间不断增加。 -十一月。尽管在 11 月下旬收到了更多企业邮箱,但该活动在 11 月 11 日和 12 日(选举日一周后)达到了高峰。

战术的演变

虽然这些企业邮箱活动的第一次迭代以基本且幼稚的企业邮箱为特色,但随着时间的推移,所使用的策略不断演变,使企业邮箱更具欺骗性。

品牌欺骗企业邮箱

这些活动中的许多企业邮箱都使用各种社会保障管理局品牌,例如徽标,以使企业邮箱看起来合法。通过将这些可识别的资产与看似指向官方政府网页的不兼容链接相结合,恶意行为者可以创建看似来自欺骗品牌的企业邮箱。

黑客欺骗社会安全管理交付 ScreenConnect 远程访问工具_Figure1.png

图 1:使用品牌资产的社会保障管理局模拟企业邮箱示例。请注意,其中包含一个不兼容的链接,该链接似乎指向官方社会保障管理局网页。

一次性规避有效载荷

一些嵌入的链接有效负载似乎仅重定向到 ConnectWise RAT 有效负载一次,随后尝试访问该链接会将潜在受害者重定向到合法的社会保障管理局网站。该机制似乎使用网络浏览器 cookie 来检测受害者之前是否访问过该恶意网站。

黑客欺骗社会安全管理交付 ScreenConnect 远程访问工具_Figure2.png

图 2:首次访问 URL 时 ConnectWise RAT 安装程序的嵌入链接示例。

黑客欺骗社会安全管理交付 ScreenConnect 远程访问工具_Figure3.png

图 3:在后续尝试访问该链接时,该网站会重定向到官方社会保障网站。

凭证网络钓鱼表格

  • 企业邮箱
  • 电话号码
  • 居住地址
  • 邮政编码
  • 社会安全号码
  • 出生日期
  • 母亲的婚前姓名
  • 电话接线员 PIN 码
  • 信用卡号码
  • 信用卡有效期
  • CVV
  • 自动柜员机密码

通过请求此信息,不良行为者可以自己实施身份欺诈或将信息出售给其他不良行为者。虽然索取敏感的财务信息(例如信用卡信息)是不良行为者的常见策略,但索取母亲的婚前姓名和电话运营商 PIN 码却是较新的做法。恶意行为者可能使用这两个字段来执行帐户接管。许多网站使用一个人母亲的婚前姓氏来回答密码恢复安全问题。同样,许多网站通过短信提供多重身份验证 (MFA)。通过请求电话运营商的 PIN,恶意行为者可以请求将电话号码移植到恶意行为者控制的设备。在确保这两种潜在的帐户接管方法的安全后,恶意行为者可以在热门网站上进行侦察,以查看受害者的企业邮箱地址是否有可以接管的注册帐户。

黑客欺骗社会安全管理交付 ScreenConnect 远程访问工具_Figure4.png

图 4:ConnectWise RAT 安装程序的嵌入式链接示例。请注意,其中包含一个附加的“我打开文件”按钮,该按钮提示用户在安装 RAT 后执行后续任务。

黑客欺骗社会安全管理交付 ScreenConnect 远程访问工具_Figure5.png

图 5:当您单击“我打开文件”按钮时,受害者将被重定向到凭据网络钓鱼页面。

分享此文章: