微軟研究人員在7月29日發(fā)布的一份博客文章指出，一種勒索軟件攻擊新方式正在流行，利用虛假的呼叫中心誘使受害者下載惡意軟件，可能比之前認(rèn)為的更危險(xiǎn)。由于惡意軟件并不存在于郵件本身的鏈接或文檔中，這種騙局有助于攻擊者繞過一些網(wǎng)絡(luò)釣魚和惡意軟件檢測(cè)服務(wù)。

　　今年2月，帕洛阿爾托網(wǎng)絡(luò)公司（Palo Alto Networks）的研究人員首先注意到了這個(gè)名為“bazcall”（BazarCall）的活動(dòng)。

　　今年5月微軟首次發(fā)現(xiàn)并對(duì)其進(jìn)行調(diào)查，攻擊者偽裝成訂閱服務(wù)提供商，引誘受害者使用手機(jī)取消一項(xiàng)不存在的訂閱。一旦接通呼叫中心，工作人員就會(huì)指導(dǎo)他們將惡意軟件下載到電腦上。

　　研究人員現(xiàn)在表示，這種惡意軟件不僅像之前認(rèn)為的那樣，讓黑客可以通過一次性的后門進(jìn)入設(shè)備，而且還可以遠(yuǎn)程控制受影響的系統(tǒng)。犯罪分子通過電子郵件引誘目標(biāo)，暗示某種服務(wù)的訂閱即將到期，比如健身會(huì)員。最近的活動(dòng)已經(jīng)變?yōu)檐浖S可的確認(rèn)收據(jù)。傳統(tǒng)的惡意軟件可能會(huì)引導(dǎo)用戶打開郵件中的鏈接或下載附件。bazcall的不同之處在于，每封電子郵件都包含一個(gè)唯一的ID號(hào)碼，并指示用戶撥打一個(gè)電話號(hào)碼，將他們與真人聯(lián)系起來。呼叫代理指示他們?cè)L問一個(gè)看起來合法的網(wǎng)站，并告訴他們從帳戶頁面下載一個(gè)文件來取消訂閱。一旦用戶在下載的文檔上啟用宏，惡意軟件就會(huì)從Cobalt Strike信標(biāo)發(fā)送。該工具是為合法目的而設(shè)計(jì)的，使用它可以幫助掩蓋惡意活動(dòng)。

　　微軟的報(bào)告稱，雖然這樣的行動(dòng)需要黑客掌握更多社會(huì)工程技術(shù)，但這種投遞方式使垃圾郵件和釣魚郵件檢測(cè)軟件基本失效。這可能使該方法成為試圖繞過日益嚴(yán)格審查的勒索軟件行動(dòng)者的強(qiáng)大工具。

　　攻擊流程概述

　　微軟在7月29日的博客中表示，對(duì)BazaCall活動(dòng)的持續(xù)調(diào)查，即那些使用欺詐性呼叫中心誘騙毫無戒心的用戶下載BazaLoader惡意軟件的活動(dòng)，表明這種威脅比其他安全博客中公開討論和媒體報(bào)道的威脅更危險(xiǎn)。除了具有后門功能外，來自這些活動(dòng)的BazaLoader負(fù)載還為遠(yuǎn)程攻擊者提供了對(duì)受影響用戶設(shè)備的手動(dòng)鍵盤控制，從而實(shí)現(xiàn)了快速的網(wǎng)絡(luò)攻擊。根據(jù)我們的觀察，源自 BazaCall 威脅的攻擊可以在網(wǎng)絡(luò)內(nèi)快速移動(dòng)，進(jìn)行廣泛的數(shù)據(jù)泄露和憑據(jù)盜竊，并在初始入侵后的48 小時(shí)內(nèi)分發(fā)勒索軟件。

　　BazaCall活動(dòng)放棄電子郵件中的惡意鏈接或附件，轉(zhuǎn)而使用誘導(dǎo)受害者撥打的電話號(hào)碼。這是一種讓人聯(lián)想到網(wǎng)絡(luò)釣魚和技術(shù)支持詐騙的技術(shù)，其中潛在的受害者被攻擊者冷呼叫，但在BazaCall的情況下，目標(biāo)用戶必須撥打該號(hào)碼。當(dāng)他們這樣做時(shí)，用戶會(huì)與線路另一端的實(shí)際人員聯(lián)系起來，然后他們提供將惡意軟件安裝到他們的設(shè)備中的步驟說明。因此，BazaCall活動(dòng)需要與人類和社會(huì)工程策略的直接電話溝通才能取得成功。此外，投遞方法中沒有明顯的惡意元素可能會(huì)使垃圾郵件和網(wǎng)絡(luò)釣魚電子郵件檢測(cè)的傳統(tǒng)方法無效。

　　圖1 典型的 BazaCall 攻擊流程，從垃圾郵件到社會(huì)工程，

　　再到正在下載的有效負(fù)載和手動(dòng)鍵盤攻擊

　　通過上述手動(dòng)鍵盤控制，在BazaCall的攻擊鏈中使用另一種人為因素，進(jìn)一步使這種威脅比傳統(tǒng)的自動(dòng)化惡意軟件攻擊更危險(xiǎn)、更容易躲避。BazaCall活動(dòng)強(qiáng)調(diào)了跨域可見的重要性以及關(guān)聯(lián)事件在構(gòu)建針對(duì)復(fù)雜威脅的全面防御方面的能力。

　　言精心設(shè)計(jì)的誘騙郵件

　　BazaCall的活動(dòng)從一封電子郵件開始，利用各種社會(huì)工程誘餌誘使目標(biāo)收件人撥打一個(gè)電話號(hào)碼。例如，電子郵件通知用戶一個(gè)假定的到期的試用訂閱，他們的信用卡將很快自動(dòng)收取訂閱的高級(jí)版本的費(fèi)用。該活動(dòng)中的每一波郵件都使用了不同的訂閱“主題”，這些訂閱主題本應(yīng)到期，比如照片編輯服務(wù)或烹飪和食譜網(wǎng)站會(huì)員資格。在最近的一次活動(dòng)中，電子郵件取消了訂閱試用的角度，取而代之的是作為購買軟件許可的確認(rèn)收據(jù)。

　　與典型的垃圾郵件和釣魚郵件不同，BazaCall的郵件正文中沒有用戶必須點(diǎn)擊或打開的鏈接或附件。相反，如果用戶有問題或擔(dān)憂，它會(huì)指示用戶撥打電話號(hào)碼。缺乏典型的惡意元素——鏈接或附件——增加了檢測(cè)和搜索這些電子郵件的難度。此外，如果用戶接受過嚴(yán)格的訓(xùn)練，避免典型的網(wǎng)絡(luò)釣魚和惡意郵件，但沒有學(xué)會(huì)警惕社會(huì)工程技術(shù)，那么電子郵件內(nèi)容的信息傳遞也可能增加一種合法性的氛圍。

　　圖2 這是一封典型的bazcall電子郵件，聲稱用戶的照片編輯服務(wù)試用期即將到期，并將自動(dòng)收取費(fèi)用。提供虛假的客戶服務(wù)號(hào)碼，幫助取消訂閱

　　bazcall的每一封郵件都來自不同的發(fā)件人，通常使用免費(fèi)的電子郵件服務(wù)和可能被泄露的電子郵件地址。電子郵件中的誘餌使用與真實(shí)企業(yè)名稱相似的假企業(yè)名稱。然后，收件人在網(wǎng)上搜索該公司名稱，以檢查電子郵件的合法性，可能會(huì)被誤導(dǎo)，認(rèn)為這樣的公司存在，他們收到的信息是有價(jià)值的。

　　下面列出了一些示例主題行。它們每個(gè)都有一個(gè)唯一的“賬號(hào)”，由攻擊者創(chuàng)建，用來識(shí)別收件人：

　　很快你就會(huì)成為高級(jí)會(huì)員，因?yàn)檠菔酒诩磳⒔Y(jié)束。個(gè)人身份證：KT[唯一身份證號(hào)碼]

　　自動(dòng)高級(jí)會(huì)員續(xù)簽通知GW[唯一ID號(hào)]

　　你的演示階段差不多結(jié)束了。您的用戶賬號(hào)VC[唯一ID號(hào)碼]。一切都準(zhǔn)備好了嗎？

　　通知一處廢棄的交通事故現(xiàn)場(chǎng)！一定要找經(jīng)理！[電子郵件正文包含唯一ID號(hào)碼]

　　感謝你決定成為BooyaFitness的會(huì)員。健身計(jì)劃從來沒有這么簡(jiǎn)單過[電子郵件正文包含唯一的ID號(hào)]

　　您的訂閱將更改為黃金會(huì)員，因?yàn)樵囼?yàn)即將結(jié)束。訂單：KT[唯一身份證號(hào)]

　　你的自由時(shí)間快結(jié)束了。您的會(huì)員賬號(hào)VC[唯一身份證號(hào)]。準(zhǔn)備好繼續(xù)前進(jìn)了嗎？

　　謝謝你得到WinRAR pro計(jì)劃。您的訂單號(hào)是WR[唯一標(biāo)識(shí)號(hào)]。

　　非常感謝您選擇WinRAR。您需要查看您的許可證信息[電子郵件正文包含唯一ID號(hào)]

　　雖然觀察到的大多數(shù)活動(dòng)的主題行都包含類似的關(guān)鍵字和偶爾的表情符號(hào)，但每一個(gè)都是獨(dú)特的，因?yàn)樗囟ㄓ谑占说淖帜笖?shù)字序列。這個(gè)序列總是以用戶ID或交易代碼的形式呈現(xiàn)，但它實(shí)際上是攻擊者識(shí)別接收方并跟蹤后者對(duì)活動(dòng)的響應(yīng)的一種方法。唯一標(biāo)識(shí)號(hào)的模式大致相同，可以用正則表達(dá)式表示，如L0123456789、KT01234567891。

　　誘導(dǎo)執(zhí)行惡意代碼

　　如果目標(biāo)收件人決定撥打電子郵件中顯示的電話號(hào)碼，他們將與bazcall運(yùn)營商設(shè)立的欺詐性呼叫中心的真人通話。呼叫中心代理充當(dāng)下一階段攻擊的通道：在他們的對(duì)話期間，代理告訴調(diào)用者，他們可以幫助取消假定的訂閱或事務(wù)。為此，代理要求來電者訪問一個(gè)網(wǎng)站。

　　這些網(wǎng)站被設(shè)計(jì)得看起來像合法的企業(yè)，其中一些甚至假冒真實(shí)的公司。然而，我們注意到，一些域名并不總是與電子郵件中包含的虛擬企業(yè)的名稱相匹配。例如，一封聲稱用戶“Pre Pear Cooking”的免費(fèi)試用即將到期的電子郵件，就與域名“topcooks[.]us”配對(duì)。bazcall活動(dòng)中使用的網(wǎng)站截圖。

　　圖3 bazcall活動(dòng)中使用的樣本網(wǎng)站。它模仿了一個(gè)真正的食譜網(wǎng)站，但受到了攻擊者的控制

　　然后呼叫中心代理指示用戶導(dǎo)航到帳戶頁面并下載文件以取消訂閱。該文件是一個(gè)啟用宏的Excel文檔，其名稱如“cancel_sub_[惟一ID號(hào)].xlsb”。請(qǐng)注意，在某些情況下，研究人員觀察到，即使啟用了Microsoft Defender SmartScreen等安全過濾器，用戶也會(huì)故意繞過它來下載文件，這表明呼叫中心代理可能會(huì)指示用戶繞過安全協(xié)議，他們威脅說，如果他們不這樣做，他們的信用卡就會(huì)被扣款。這再次證明了BazaCall攻擊中使用的社交工程策略的有效性。

　　下載的Excel文件顯示一個(gè)虛假的通知，說它受到Microsoft Office的保護(hù)。然后，呼叫中心代理指示用戶單擊按鈕，使編輯和內(nèi)容（宏）能夠查看電子表格的內(nèi)容。如果用戶啟用宏，則BazaLoader惡意軟件將被發(fā)送到設(shè)備。從BazaCall活動(dòng)使用的網(wǎng)站下載Excel文件的截圖。

　　圖4 攻擊者使用的Excel文檔，提示用戶啟用惡意代碼

　　關(guān)鍵數(shù)據(jù)竊取過程

　　在Excel文檔中啟用的宏會(huì)在%programdata%文件夾中創(chuàng)建一個(gè)隨機(jī)字符串命名的新文件夾。然后，它從System文件夾中復(fù)制certutil.exe，一個(gè)已知的本地二進(jìn)制文件（LOLBin），并將certutil.exe的拷貝放到新創(chuàng)建的文件夾中，作為一種防御規(guī)避的手段。最后，對(duì)certutil.exe的副本進(jìn)行重命名，以匹配文件夾名稱中的隨機(jī)字符串。

　　然后宏使用新命名的certutil.exe副本連接到攻擊者的基礎(chǔ)設(shè)施并下載BazaLoader。下載的有效載荷是一個(gè)惡意的動(dòng)態(tài)鏈接庫（。dll），由rundll32.exe加載。Rundll32然后注入一個(gè)合法的MsEdge.exe進(jìn)程連接到BazaLoader命令和控制（C2），并通過使用Edge在Startup文件夾中創(chuàng)建一個(gè)。lnk（快捷方式）文件來建立持久性。MsEdge.exe還可用于偵察、收集系統(tǒng)和用戶信息、網(wǎng)絡(luò)中的域和域信任。

　　rundll32.exe進(jìn)程檢索一個(gè)Cobalt Strike信標(biāo)，使攻擊者能夠用手對(duì)鍵盤控制設(shè)備?，F(xiàn)在通過直接訪問，攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行偵察，搜索本地管理員和高權(quán)限域管理員帳戶信息。

　　攻擊者還使用ADFind進(jìn)行進(jìn)一步的廣泛偵察，ADFind是一種免費(fèi)的命令行工具，用于發(fā)現(xiàn)活動(dòng)目錄。通常，從這種偵察中收集的信息被保存到一個(gè)文本文件中，并由攻擊者使用命令提示符中的“Type”命令查看。

　　一旦攻擊者在網(wǎng)絡(luò)上建立了目標(biāo)設(shè)備列表，他們就會(huì)使用Cobalt Strike定制的內(nèi)置PsExec功能橫向移動(dòng)到目標(biāo)設(shè)備。攻擊者登陸的每個(gè)設(shè)備都與Cobalt Strike C2服務(wù)器建立連接。此外，某些設(shè)備還被用來進(jìn)行額外的偵察，下載旨在竊取瀏覽器口令的開源工具。在某些情況下，攻擊者還使用WMIC橫向移動(dòng)到高價(jià)值目標(biāo)，如域控制器。

　　當(dāng)攻擊者落在選定的高價(jià)值目標(biāo)上時(shí)，他們使用7-Zip來保存知識(shí)產(chǎn)權(quán)以便外逃。歸檔文件以它們所包含的數(shù)據(jù)類型命名，比如IT信息，或者關(guān)于安全操作、財(cái)務(wù)和預(yù)算的信息，以及特定于每個(gè)目標(biāo)行業(yè)的細(xì)節(jié)。然后，攻擊者使用開源工具的重命名版本RClone，將這些檔案轉(zhuǎn)移到攻擊者控制的域。顯示從BazaCall活動(dòng)感染BazaLoader后攻擊者活動(dòng)的圖表。

　　圖5 目標(biāo)上的后續(xù)攻擊活動(dòng)，包括數(shù)據(jù)滲漏和勒索軟件

　　最后，在域控制器上，攻擊者使用ntdsutil .exe（通常用于創(chuàng)建和維護(hù)Active Directory數(shù)據(jù)庫的合法工具）來創(chuàng)建NTDS的副本。dit活動(dòng)目錄數(shù)據(jù)庫，在%programdata%或%temp%文件夾中，用于后續(xù)的導(dǎo)出。被忽略的。Dit包含域內(nèi)所有用戶的用戶信息和密碼哈希。

　　在某些情況下，數(shù)據(jù)外泄似乎是攻擊的主要目標(biāo)，這通常是為未來的活動(dòng)做準(zhǔn)備。然而，在其他情況下，攻擊者在執(zhí)行上述活動(dòng)后部署勒索軟件。在那些被投放勒索軟件的案例中，攻擊者使用高特權(quán)賬戶，結(jié)合Cobalt Strike的PsExec功能，將Ryuk或Conti勒索軟件載荷投放到網(wǎng)絡(luò)設(shè)備上

　　基于跨域可見性和威脅情報(bào)的bazcall攻擊檢測(cè)

　　雖然許多網(wǎng)絡(luò)安全威脅依賴于自動(dòng)的、由戰(zhàn)術(shù)驅(qū)動(dòng)（例如，利用系統(tǒng)漏洞來丟棄惡意軟件或損害合法網(wǎng)站進(jìn)行水坑攻擊）或開發(fā)先進(jìn)的檢測(cè)逃避方法，但攻擊者繼續(xù)在攻擊中發(fā)現(xiàn)社會(huì)工程和人際互動(dòng)方面的成功。bazcall的活動(dòng)將其發(fā)送的電子郵件中的鏈接和附件替換為電話號(hào)碼，這給檢測(cè)帶來了挑戰(zhàn)，尤其是傳統(tǒng)的反垃圾郵件和反釣魚解決方案對(duì)這些惡意指標(biāo)的檢測(cè)。

　　BazaCall的電子郵件中缺乏典型的惡意元素，其運(yùn)營商發(fā)起攻擊的速度之快，證明了如今企業(yè)面臨的威脅越來越復(fù)雜，越來越難以躲避。Microsoft 365 Defender提供了跨域可見性和協(xié)同防御，以保護(hù)客戶免受此類威脅。鑒于BazaCall的獨(dú)特特性，跨端點(diǎn)和電子郵件關(guān)聯(lián)事件的能力對(duì)它來說至關(guān)重要。Microsoft Defender for Endpoint檢測(cè)植入物如BazaLoader和Cobalt Strike，有效載荷如Conti和Ryuk，以及隨后的攻擊行為。這些端點(diǎn)信號(hào)與電子郵件威脅數(shù)據(jù)相關(guān)，通知Microsoft Defender for Office 365阻止BazaCall電子郵件，即使這些電子郵件沒有典型的惡意構(gòu)件。

　　Microsoft 365 Defender進(jìn)一步使組織能夠通過豐富的調(diào)查工具（如高級(jí)狩獵）來防御這種威脅，允許安全團(tuán)隊(duì)定位相關(guān)或類似的活動(dòng)并無縫地解決它們。