[[435447]]

早在 5 月，微軟就認(rèn)定有俄羅斯背景的 NOBELIUM 黑客組織要對持續(xù)數(shù)月的 SolarWinds 網(wǎng)絡(luò)攻擊事件負(fù)責(zé)，并同企業(yè)、政府和執(zhí)法機(jī)構(gòu)達(dá)成了合作，以遏制此類網(wǎng)絡(luò)攻擊的負(fù)面影響。早些時(shí)候，微軟更進(jìn)一步地剖析了 NOBELIUM 使用的一套更加復(fù)雜的惡意軟件傳送方法。可知其用于造成破壞，并獲得“HTML Smuggling”系統(tǒng)的訪問權(quán)。

HTML Smuggling 技術(shù)概覽(圖自：Microsoft Security)

微軟表示，HTML Smuggling 是一種利用合法 HTML5 和 JavaScript 功能、以高度規(guī)避安全系統(tǒng)檢測的惡意軟件傳送技術(shù)。

釣魚郵件示例

近年來，這項(xiàng)技術(shù)已被越來越多地用于部署網(wǎng)銀惡意軟件、遠(yuǎn)程訪問木馬(RAT)、以及其它有針對性的釣魚郵件活動。

Mekotio 活動中曝光的威脅行為

其實(shí)早在今年 5 月，這項(xiàng)技術(shù)就已經(jīng)在 NOBELIUM 發(fā)起的釣魚郵件活動中被觀察到，最近的案例包括網(wǎng)銀木馬 Mekotio、AsyncRAT / NJRAT 和 Trickbot(控制肉雞并傳播勒索軟件負(fù)載和其它威脅)。

HTML Smuggling 網(wǎng)頁代碼示例

顧名思義，HTML Smuggling 允許攻擊者在特制的 HTML 附件或網(wǎng)頁中“夾帶私貨”。當(dāng)目標(biāo)用戶在瀏覽器中打開時(shí)，這些惡意編碼腳本就會在不知不覺中被解碼，進(jìn)而在受害者的設(shè)備上組裝出有效負(fù)載。

被 JavaScript 加花的 ZIP 文件

換言之，攻擊者沒有直接通過網(wǎng)絡(luò)來傳遞可執(zhí)行文件，而是繞過了防火墻、再在暗地里重新構(gòu)建惡意軟件。舉個(gè)例子，攻擊者會在電子郵件消息中附上 HTML Smuggling(或重定向)頁面鏈接，然后提示自動下載序列。

釣魚頁面

為幫助用戶辨別愈演愈烈的 HTML Smuggling 攻擊，微軟在文中給出了一些演示實(shí)例，告誡銀行與個(gè)人采取必要的防御措施，同時(shí)不忘推銷一下自家的 Microsoft 365 安全解決方案。

在瀏覽器中構(gòu)造的、帶有密碼保護(hù)下載器的 JavaScript 實(shí)例

據(jù)悉，Microsoft 使用多層方法來抵御網(wǎng)絡(luò)威脅，通過與一系列其它終端防御措施協(xié)同合作，以阻止在攻擊鏈的更高層執(zhí)行并減輕來自更復(fù)雜攻擊的后果。

Trickbot 釣魚活動的 HTML Smuggling 攻擊示例

最后，微軟強(qiáng)烈建議廣大客戶養(yǎng)成良好的習(xí)慣，抽空了解各類惡意軟件感染案例，同時(shí)將非必要的本地 / 管理員權(quán)限調(diào)到最低。