发动钓鱼邮件的攻击者为了规避邮件系统初步侦测,最近几年开始会采用一些电子邮件附件较为罕见的文件格式,来附带作案工具,例如,6月底有安全研究人员发现,有攻击者使用了Windows镜像文件格式WIM(Windows Image Format)的文件,作为钓鱼邮件的附件,目的是为了传播恶意软件Agent Tesla。而恶意程序代码免疫系统供应商Intezer,他们在7月7日公布了一起针对能源产业的钓鱼邮件攻击事故,并认为黑客攻击行动时间至少为期一年,而且攻击者发送的邮件里,都会包含IMG、ISO,或是CAB文件格式的附件。
关于这起攻击行动遭到锁定的目标,Intezer指出主要是针对能源、石油、天然气,以及电子业的大型国际公司。不仅如此,黑客还针对了石油与天然气的供应商下手,因此,Intezer研判,这波攻击很可能是整起行动的第一阶段。一旦攻击者成功入侵供应商,他们可以运用可掌控的电子邮件账号,来向受害公司的合作伙伴发送钓鱼邮件,让这些合作厂商更难发现异状。
而从攻击的范围来看,黑客攻击了世界各地的公司,包括美国、德国,以及阿拉伯联合酋长国(UAE)等。不过,Intezer认为,攻击者的主要目标是韩国公司。
再者,钓鱼邮件的内容与公司业务往来相关,像是报价请求(RFQ)、合约,以及投标文件等。研究人员强调钓鱼邮件的内容几可乱真,看起来像是两家公司之间的往来信件,而使得受害者难以发现有异──攻击者使用了公司的真实地址、商标,以及电子邮件信箱,甚至会提及高端主管,而且,上述邮件的内容,也与遭锁定的公司实际业务相关。
研究人员举出其中一封钓鱼邮件内容为例,攻击者假冒现代工程公司(Hyundai Engineering Co,HEC)的名义,谎称要参与巴拿马联合循环发电厂(Combined Cycle Power Plant)的设备投标,要求对方若要参与设备的投标,就要在截止日期前提交标案资料,并宣称标案的细节和需求,附随于附件文件之中。但实际上,附件包含了恶意软件,一旦收信人信以为真打开附件文件,计算机就可能会被植入恶意软件。
为了让受害人降低戒心,攻击者还运用了误植域名(Typosquatted)的手法,这些寄信者的域名疑似已被事先注册,目的是让收件者认为电子邮件来自受信任的实体,一旦收件者稍不留意,很有可能认为电子邮件是从合法公司发出。Intezer指出,许多被盗用的域名名称,模仿韩国公司的合法名称“company.co.kr”,攻击者注册了没有.co二级网址的域名名称,而是“company-co.kr”。以上述假冒现代工程公司的例子而言,攻击者注册了hec-co.kr来用于攻击行动。
一旦收信人不慎打开这些光盘镜像文件(ISO、IMG)或是压缩文件格式(CAB)的附件,就有可能中招。这些附件内置可执行文件(EXE)格式的恶意程序,但攻击者为了欺骗收信人,将其图标替换为PDF文件的样子。Intezer指出,这些附件里附带的恶意程序,他们看到了Formbook、Agent Tesla、Loki、Snake Keylogger,以及AZORult等RAT木马程序,而这些恶意程序的公用功能,就是能窃取受害计算机里的机密,包含了个人信息和银行资料,以及上网浏览记录等,并且可监听键盘输入的内容。
研究人员指出,由于在Windows 10操作系统里,用户只要点击上述格式的光盘映像文件,或者是CAB文件,计算机就会自动挂载或是打开其中内容,只需要少许受害者操作,就会触发恶意软件,再加上有些电子邮件防护系统不会检查这类格式的附件,而让这种邮件能成功发送给特定目标人士。该公司也呼吁企业和用户要加以留意防范。