网络安全警示：新型社会工程攻击活动

关键要点

Rapid7的安全研究人员发现了针对企业的社会工程攻击活动。攻击者通过发送虚假的电子邮件，获取初始访问权限。该活动自2024年4月底开始，使用合法的新闻通讯确认邮件来绕过邮件保护系统。攻击者伪装成公司的IT团队，诱导用户安装远程监控软件。该活动与Black Basta勒索软件的策略存在重叠。

网络安全研究机构Rapid7识别出一项针对企业的社会工程活动，该活动通过垃圾邮件获取初始访问权限，以便进行进一步的利用，The Hacker News 报道。

点击获取更多特别报道

水母梯子注册

这项持续进行的活动自2024年4月底以来一直处于活跃状态，攻击者通过发送合法的新闻通讯注册确认邮件来淹没用户，从而绕过电子邮件保护系统。接着，威胁参与者伪装成公司的IT团队，通过电话与用户联系，劝说他们安装像AnyDesk或微软Quick Assist这样的远程监控软件。一旦建立了远程访问，攻击者便会执行批处理脚本下载额外的负载，包括Windows的OpenSSH，从而建立与其指挥与控制服务器的反向Shell连接。此外，该活动还试图部署Cobalt Strike信标，尽管观察到的一次尝试未能成功。

此活动显示出与之前与Black Basta勒索软件操作者相关的策略重叠。该活动还利用了诸如ConnectWise ScreenConnect和NetSupport RAT等远程监控工具，NetSupport RAT是一种与FIN7一个涉嫌与Black Basta有联系的网络犯罪集团相关的远程访问木马。

攻击特点描述攻击开始时间2024年4月底垃圾邮件类型新闻通讯注册确认邮件伪装身份企业IT团队安装工具AnyDesk、Quick Assist、OpenSSH关联活动与Black Basta勒索软件相关的策略

注意：此类攻击手段仍在不断演变，企业应加强对员工的安全培训和多重防护机制，以降低风险。