本文轉載自公眾號“安數網絡”（anshunet）。

據有關網絡安全專家稱，自2020年5月起，他們就一直在跟蹤針對高級公司高管的網絡釣魚活動。黑客在網絡釣魚頁面中再次使用了受感染的主機，通過偽造虛假的Office 365密碼到期報告，竊取了上千個公司員工的憑據。

該活動主要針對金融，政府，制造業(yè)，房地產和技術等領域。在日本，美國，英國，加拿大，澳大利亞和幾個歐洲國家均出現了受害者。

迄今為止，已識別出300多個特殊的URL，以及來自八個受感染網站的70個電子郵件地址。其中，包括40份公司CEO、董事、公司創(chuàng)始人、所有者的合法郵件地址，以及其他企業(yè)員工的電子郵件地址。

作為誘餌，黑客使用了虛假的Office 365密碼過期報告，要求受害者單擊嵌入式鏈接，稱該鏈接允許他們繼續(xù)使用相同的密碼。但是，一旦潛在的受害者單擊“保留密碼”選項，他們就會被帶到網絡釣魚頁面。攻擊者正在使用受損的基礎架構和受害者的帳戶憑據來托管網絡釣魚頁面，并還在針對更多受害者。

作為攻擊的一部分，黑客使用了去年首次詳細描述的網絡釣魚工具，該工具被用于假冒Microsoft登錄頁面的類似攻擊中。該工具包可供出售，也可讓網絡罪犯驗證被盜的憑證的詳細信息和準確性。

與此同時，專家還發(fā)現，黑客正在出售公司CEO，首席財務官(CFO)和財務部門成員等人的Office 365賬戶的失竊憑據。這些帖子在多個使用英語和俄語的論壇中被看到。值得注意的是，使用俄語的論壇上的所有帖子都是用英語完成的，并使用的是最近注冊的賬戶。在具體信息頁面還提供了受損的office 365 賬戶憑據以及員工各自的公司職位。

此活動中的大多數網絡釣魚電子郵件都是使用FireVPS的虛擬專用服務器(VPS)發(fā)送的，該公司為客戶提供各種Windows遠程桌面協(xié)議(RDP)計劃。

此次網絡釣魚工具包似乎是類似工具的第四次迭代版，它還包括大量的IP地址范圍和域名列表，旨在阻止安全公司和大型云提供商訪問，可能是為了逃避檢測，因為該清單包括許多網絡安全和技術公司。

對來自配置錯誤站點中所收集的日志文件中的數據分析表明，竊取的憑據來自撰寫本文時托管惡意Office 365 V4工具包的八個受感染的釣魚網站。我們發(fā)現每個站點可能都是由不同的黑客針對規(guī)模和范圍不同的網絡釣魚活動而建立的。一項活動僅針對美國公司首席執(zhí)行官，總裁和創(chuàng)始人，而另一項活動針對來自美國，英國，加拿大，匈牙利，荷蘭和以色列等不同國家的董事和經理。此外，黑客似乎大多從LinkedIn收集了目標電子郵件地址。

美國公司CEO的電子郵件地址顯然是此活動的主要目標，而其他人則使用相同的網絡釣魚工具。此類電子郵件使黑客可以進行進一步的網絡釣魚，破壞敏感信息以及進行商業(yè)電子郵件泄露(BEC)和其他社會工程攻擊。

網絡釣魚攻擊和黑客通常以員工為目標，員工通常是組織安全鏈中最薄弱的環(huán)節(jié)。有選擇地對公司高管進行釣魚攻擊，黑客可以大大提高獲得的憑據的價值，因為它們可能導致對敏感的個人和組織信息進一步訪問，并用于其他攻擊。

參考鏈接：

https://www.trendmicro.com/en_us/research/21/a/fake-office-365-used-for-phishing-attacks-on-c-suite-targets.html