早在 5 月,微軟就認定有俄羅斯背景的 NOBELIUM 黑客組織要對持續數月的 SolarWinds 網絡攻擊事件負責,並同企業、政府和執法機構達成了合作,以遏制此類網絡攻擊的負面影響。早些時候,微軟更進一步地剖析了 NOBELIUM 使用的一套更加複雜的惡意軟件傳送方法。可知其用於造成破壞,並獲得“HTML Smuggling”系統的訪問權。
HTML Smuggling 技術概覽(圖自:Microsoft Security)
微軟表示,HTML Smuggling 是一種利用合法 HTML5 和 JavaScript 功能、以高度規避安全系統檢測的惡意軟件傳送技術。
釣魚郵件示例
近年來,這項技術已被越來越多地用於部署網銀惡意軟件、遠程訪問木馬(RAT)、以及其它有針對性的釣魚郵件活動。
Mekotio 活動中曝光的威脅行為
其實早在今年 5 月,這項技術就已經在 NOBELIUM 發起的釣魚郵件活動中被觀察到,最近的案例包括網銀木馬 Mekotio、AsyncRAT / NJRAT 和 Trickbot(控制肉雞並傳播勒索軟件負載和其它威脅)。
HTML Smuggling 網頁代碼示例
顧名思義,HTML Smuggling 允許攻擊者在特製的 HTML 附件或網頁中“夾帶私貨”。當目標用戶在瀏覽器中打開時,這些惡意編碼腳本就會在不知不覺中被解碼,進而在受害者的設備上組裝出有效負載。
被 JavaScript 加花的 ZIP 文件
換言之,攻擊者沒有直接通過網絡來傳遞可執行文件,而是繞過了防火牆、再在暗地裡重新構建惡意軟件。舉個例子,攻擊者會在電子郵件消息中附上 HTML Smuggling(或重定向)頁面鏈接,然後提示自動下載序列。
釣魚頁面
為幫助用戶辨別愈演愈烈的 HTML Smuggling 攻擊,微軟在文中給出了一些演示實例,告誡銀行與個人採取必要的防禦措施,同時不忘推銷一下自家的 Microsoft 365 安全解決方案。
在瀏覽器中構造的、帶有密碼保護下載器的 JavaScript 實例
據悉,Microsoft 使用多層方法來抵禦網絡威脅,通過與一系列其它終端防禦措施協同合作,以阻止在攻擊鏈的更高層執行並減輕來自更複雜攻擊的後果。
Trickbot 釣魚活動的 HTML Smuggling 攻擊示例
最後,微軟強烈建議廣大客戶養成良好的習慣,抽空了解各類惡意軟件感染案例,同時將非必要的本地 / 管理員權限調到最低。