国内企业遭遇窃密木马钓鱼攻击,涉及敏感信息窃取与远控
勇砺商业评论 曾宪勇
有职场人向警方反馈,自己的电子邮箱收到律师函,一看有律所的LOGO就信以为真,赶紧点开邮件附件……没想到公司机密信息却因此被盗。
伪装成法律诉讼文件的钓鱼邮件
近日,瑞星威胁情报中心捕获到国内企业被投递窃密木马的钓鱼攻击活动,通过分析发现,攻击者所投递的木马为FormBook 4.1版本,能够窃取浏览器、邮箱等敏感信息,同时具备远程控制功能,具有很强的威胁性,瑞星在此提醒广大企业应加强防范。伪装成商业往来邮件,利用真实LOGO来钓鱼
瑞星安全专家介绍,攻击者一般会以撒网式向企业员工或高层发送伪装成商业往来的钓鱼邮件,以诱导受害者点击,此次攻击也不例外。
通过分析发现,在本次钓鱼邮件攻击中,攻击者伪造了虚假的法律诉讼文件和采购订单,发送给目标企业的多位高管人员,以此来吸引目标点击钓鱼邮件附件。
伪装成采购单的钓鱼邮件
如果仔细甄别的话可以看出,在伪装成法律诉讼的钓鱼邮件中,邮件正文的律所LOGO与邮件标题、发件人并不相同,这家律所是真实存在的,LOGO也是正确的,但发件人地址却是攻击者的,其目的就是为了假冒成真实的律所来骗取目标的信任,诱导点击邮件附件。专为企业高管定制的商业窃密木马
附件中嵌入了目前非常流行的一种商业窃密木马,名为“FormBook”,该木马程序自2016年开始,便在黑客论坛上以MaaS(恶意软件即服务)的形式出售,至今保持着活跃状态,通常被攻击者以广撒网的方式进行钓鱼邮件攻击,同时也存在高价值目标的“定制化”攻击,如企业、组织高管等。该木马程序版本不断迭代更新,在此次攻击的钓鱼邮件中,攻击者所使用的就是FormBook 4.1版本。
FormBook 4.1版本主要是用于窃取目标系统中浏览器、邮箱客户端、Windows Vault(凭据保管库)等敏感信息,同时还具备远程控制能力,包括键盘记录、屏幕截图、下载执行、数据回传等功能。
攻击流程图
企业用户应提高警惕,加强防范
瑞星安全专家表示,FormBook这类窃密木马专门用来窃取商业机密、数据、资产文件等重要机密信息,会给企业带来极大的危害,因此广大用户应提高警惕,加强防范,做到以下几点:
1. 不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
2. 部署EDR、NDR产品。
利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。
3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。
杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM防病毒终端安全防护系统可查杀FormBook木马程序
4. 及时修补系统补丁和重要软件的补丁。
许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。(曾宪勇)