DHL主题的网络钓鱼活动传递远程访问软件

DHL主题钓鱼活动分发远程访问软件

执行摘要

一种新的钓鱼活动正在使用令人信服的DHL品牌电子邮件分发合法的远程访问软件，为威胁行为者建立了初步的立足点。根据Malwarebytes研究人员的说法，攻击者利用这种访问权限在被入侵的系统上直接部署额外的恶意软件，包括勒索软件。该行动突出了一个持续的趋势，即滥用受信任的软件品牌和工具来绕过安全控制并建立持久访问。

技术分析

该活动始于一封带有主题行“您的货物已到达”的钓鱼电子邮件。该消息模仿DHL的品牌，并通知收件人包裹投递尝试失败，敦促他们打开附加文件以查看投递详情并重新安排。附件是一个密码保护的ZIP存档，这是一种常见的技术，以规避基本的电子邮件安全扫描器。存档的密码包含在电子邮件正文中。

在存档中是一个名为DHL_Delivery_Details.wsf的恶意Windows脚本文件（WSF）。当执行此脚本文件时，它会下载并运行AnyDesk的合法安装程序，AnyDesk是一种广泛使用的远程桌面应用程序。该脚本配置AnyDesk随Windows启动，并设置一个自定义的、由攻击者控制的访问密码，确保持久的远程访问。Malwarebytes指出，攻击者随后使用这种远程访问手动探索被入侵的系统，如有必要则提升权限，并部署次级有效载荷。这些后续有效载荷包括信息窃取恶意软件和勒索软件，尽管报告中没有识别出具体的勒索软件家族。

入侵指标

目前没有识别出任何指标。Malwarebytes的报告没有提供与此活动相关的特定文件哈希值、域名或IP地址。主要指标仍然是社会工程诱饵：通过电子邮件分发的声称来自DHL关于失败货物的密码保护ZIP存档。

战术、技术与程序

威胁行为者采用多阶段入侵链，融合了社会工程和本地生存战术。

• 战术：初始访问（TA0001）
  • 技术：钓鱼（T1566）：使用鱼叉式钓鱼附件（T1566.001）来分发恶意WSF文件。
• 战术：执行（TA0002）
  • 技术：命令和脚本解释器（T1059）：使用Windows命令外壳（T1059.003）和Windows脚本（T1059.005）来执行下载的WSF脚本。
• 战术：持久性（TA0003）
  • 技术：启动或登录自动启动执行（T1547）：通过配置合法的AnyDesk软件在系统启动时启动来实现注册表运行密钥/启动文件夹（T1547.001）。
• 战术：防御绕过（TA0005）
  • 技术：伪装（T1036）：文件和电子邮件伪装成合法的DHL通信。
  • 技术：混淆文件或信息（T1027）：恶意有效载荷被分发在一个密码保护的ZIP存档内，以阻碍静态分析。
  • 技术：可信开发者工具（T1218）：攻击者滥用合法的、签名的AnyDesk安装程序用于恶意目的。
• 战术：命令和控制（TA0011）
  • 技术：远程访问软件（T1219）：主要目标是安装和配置AnyDesk以实现持久的远程控制。

威胁行为者背景

此活动背后的特定威胁行为者尚未识别。这些战术与财务动机的团体一致，包括勒索软件分支机构，他们通常使用远程访问工具作为动手键盘攻击的第一步。使用像AnyDesk这样的合法、高声誉的远程访问工具是一种确立的技术，以融入正常网络流量并避免安全软件的检测，这些软件可能只标记已知的恶意远程访问工具（RATs）。

缓解措施与建议

组织和用户应实施分层防御以应对这种威胁。

• 用户培训：教育员工关于钓鱼策略，特别是警告他们关于带有附件的未经请求的电子邮件，尤其是密码保护的存档，即使是来自看似受信任的品牌，如运输公司。
• 电子邮件过滤：部署能够分析存档内容（包括密码保护文件）并检测基于脚本的威胁（如WSF文件）的高级电子邮件安全解决方案。
• 应用程序控制：实施应用程序允许列表策略，以防止未经授权的软件执行，包括来自非标准位置的意外远程访问工具。
• 端点检测与响应（EDR）：使用EDR工具监控可疑的过程链，如wscript.exe或cmd.exe生成下载和安装远程访问软件的过程。
• 网络监控：监控出站网络流量，以连接到已知远程桌面和远程访问软件供应商的服务器，这些服务器不是组织的标准软件组合的一部分。
• 供应商通信：提醒员工，合法的物流公司如DHL不会发送可执行文件或脚本作为货物通知的附件。