关于安全研究人员发现名为怨恨的网络钓鱼活动

尽管十年前用网络钓鱼攻击黑客很容易，但威胁检测技术的发展和人们的网络意识多年来减缓了网络钓鱼和社会工程攻击的成功。

由于在受害者怀疑之前，网络钓鱼对黑客来说更像是一次机会，而且很可能不会再次落入同样的伎俩，成熟的黑客组织已经开始投入大量精力、时间和研究来设计精心策划的网络钓鱼活动。

在Check Point的网络安全研究人员发现的一个此类最新活动中，一个名为怨恨，被发现在2018年12月至2019年6月期间对东南亚政府实体进行了非常有针对性和广泛的攻击。

关于这场持续7个月的运动，有趣的是，在这段时间里，Rancor集团根据其目标不断更新策略、工具和程序（TTP），以努力提出钓鱼电子邮件内容，并尽可能让诱饵文件具有说服力。

“观察到的攻击始于代表东南亚国家不同政府部门、大使馆或政府相关实体的员工发送的电子邮件，”CheckPoint发布的一份报告写道，该报告在发布前与《黑客新闻》私下分享。

“攻击者似乎决心达到某些目标，因为数十封电子邮件被发送给同一部门的员工。此外，这些电子邮件的来源可能被欺骗，以使它们看起来更可靠。”

不断发展的战术、工具和程序

研究人员根据时间线、交付、持久性和有效载荷发现了不同的TTP组合，然后将它们组合成8个主要变体，如下文所列。

每一种攻击都是从一封经典的矛式网络钓鱼电子邮件开始的，其中包含一个恶意文档，旨在运行宏并利用已知漏洞在受害者的机器上安装后门并获得对系统的完全访问权。


这场运动中的大部分交付文件都包含合法的政府相关主题，如政府雇员须知、官方信函、新闻稿、调查等，似乎是其他政府官员发送的。

有趣的是，作为感染链的一部分，在大多数活动中，攻击者还携带自己的主要防病毒产品的合法、签名和受信任的可执行文件，从侧面加载恶意DLL（动态链接库）文件，以逃避检测，尤其是从行为监控产品。


如上图所示，被滥用的合法可执行文件属于防病毒产品，包括Avast antivirus、BitDefender agent和Windows defender的一个组件。

尽管攻击链涉及无文件活动，如使用VBA宏、PowerShell代码和合法的Windows内置工具，但这项活动的目的不是实现无文件方法，因为研究人员告诉《黑客新闻》，该活动的其他部分会向文件系统暴露恶意活动。

“到目前为止，我们还没有看到对政府如此持续的攻击；同样的攻击已经持续了7个月。我们认为美国政府应该注意，”研究人员警告说，因为美国大选即将到来。

“要攻击美国政府，这些中国黑客不需要做太多改变，只需要制作全英文的诱饵文件，并包含会引起受害者兴趣的主题，以便受害者打开文件。”

Rancor hacking group此前曾被发现攻击柬埔寨和新加坡，并继续针对东南亚地区的实体开展行动，这一次该集团已将7个月的努力集中在东南亚政府部门。

研究人员总结道：“我们预计该组织将继续发展，以我们在整个活动中观察到的方式不断改变他们的TTP，并推动他们绕过安全产品和避免归因的努力。”。