一个复杂的网络钓鱼活动正针对 Microsoft SharePoint 账户发送恶意文档,目的是让用户通过部署 PowerShell 命令来控制自己。 这次攻击是一次 ClickFix 式的网络攻击活动,最终目的是部署开源且功能强大的 Havoc 命令与控制(C2)框架,以获得对目标系统的完全控制权。 Havoc 是一种 C2 框架,类似于 Cobalt Strike、Silver 和 Winos4.0,攻击者利用它来获得对目标系统的控制权。 研究人员说,它是开源的,可在GitHub上获取,因此威胁行为者很容易对其进行定制并添加高级反检测功能。 FortiGuard实验室的研究人员发现了这一活动,他们在3月3日发表的一篇博文中称,该活动利用了一种不寻常的战术,即通过使用SharePoint内部的微软图API来伪装恶意C2通信。
“该博文称:”威胁行为者将每个恶意软件阶段隐藏在一个SharePoint网站后面,并使用修改版的Havoc Demon与Microsoft Graph API来掩盖受信任的知名服务中的C2通信。
要求网络目标自我妥协 从一开始,该活动似乎就相当标准,目标会收到一封电子邮件,其中使用了一种典型的策略,紧急要求他们采取行动。 在这种情况下,他们可以查看一份所谓的 “限制通知”,要求他们点击附件 “Documents.html”。
研究人员说,该文档实际上是一种ClickFix攻击,它在HTML中嵌入了虚假的错误信息和说明,要求用户将恶意PowerShell命令复制并粘贴到他们的系统中,然后执行恶意Havoc代码。 ClickFix是Proofpoint公司的研究人员去年4月首次发现的一种攻击方式,它要求受害者通过打开Windows PowerShell并粘贴代码来 “修复 “某些问题–在这种情况下是一个有问题的浏览器更新。 此后,攻击者又在其他攻击活动中使用了这种方法。 在新发现的攻击活动中,ClickFix 告诉用户他们未能连接到 OneDrive 服务,因此必须修复错误。 如果用户上钩,他们最终会被指示运行一个托管在 SharePoint 中的 PowerShell 脚本,该脚本由威胁行为者控制,并部署了一个同样托管在 SharePoint 中的 Python 脚本。 通过这种方式,攻击者将恶意脚本隐藏在合法应用程序中。 最终的有效载荷是 Havoc 的修改版,攻击者将其与 Microsoft Graph API 结合使用,从而将 C2 通信隐藏在众所周知的服务中。 研究人员说,攻击者利用这个框架完全控制了被入侵的系统。
“帖子称:”修改后的 Havoc Demon DLL 仍以 DemonInit 开始,并使用与 KaynLdr 相同的哈希算法来检索必要的 API 和初始化配置对象。 Havoc 网络攻击活动的独特功能 虽然攻击者使用流行的开源框架来扩大他们的活动并不罕见,但在攻击中使用合法的微软服务显示出了令人担忧的复杂程度,安全专家说。
“应用程序安全解决方案提供商 Black Duck 的首席顾问兼网络和红队实践主管 Thomas Richards 说:”使用这些服务可以让他们隐藏在众目睽睽之下,并获得被视为可信服务器的好处。
另一位安全专家称,在SharePoint中隐藏恶意软件阶段和使用微软图形应用程序接口来掩盖C2通信的做法 “令人震惊”,并补充说,这超出了典型的混淆方法。”这种方法利用了对成熟服务的信任,从而使检测变得非常复杂,”API安全公司Salt Security的网络安全战略总监Eric Schwake解释说。
理查兹补充说,威胁者要求受害者手动操作的策略也是非典型的,甚至是令人惊讶的。 他说:”通常在这些活动中,坏人希望受害者除了点击链接之外,尽可能减少互动。 如何防范高级网络钓鱼 除了采取通常的网络钓鱼预防措施,建议人们避免点击可疑邮件中的任何文件或链接之外,Fortiguard 实验室还建议人们 “格外谨慎 “地处理鼓励打开终端或 PowerShell 的引导信息。 Richards 还建议防御者实施人工智能驱动的 API 安全平台,这些平台可以实时分析 API 流量,准确定位异常情况,并主动挫败恶意行为。 他说,”即使攻击者在微软图形 API 等可信服务中寻求庇护,”这些保护措施也能检测到攻击。 Richards 补充说,强有力的 API 态势治理–包括严格的身份验证和授权流程、执行最低权限访问以及持续监控 API 活动以发现任何可疑行为–也能在发生类似攻击时最大限度地降低风险。
信息来源:https://www.darkreading.com/cyberattacks-data-breaches/phishers-wreak-havoc-disguising-attack-inside-sharepoint
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件