據(jù)網(wǎng)絡(luò)安全公司Abnormal Security近日發(fā)布的一份報(bào)告稱(chēng)：發(fā)起B(yǎng)azaCall釣魚(yú)攻擊的威脅組織正在嘗試通過(guò)利用Google表單實(shí)施新一輪攻擊。BazaCall（又稱(chēng)BazarCall）最早被發(fā)現(xiàn)于2020年，攻擊者通過(guò)發(fā)送假冒的電子郵件訂閱通知給目標(biāo)用戶，敦促他們?nèi)缬挟愖h立刻聯(lián)系服務(wù)臺(tái)取消計(jì)劃，否則可能面臨50至500美元的收費(fèi)。

在Abnormal Security最新檢測(cè)到的攻擊變種中，威脅組織使用了Google Forms創(chuàng)建的表單用作傳遞所謂訂閱詳情的渠道。

值得注意的是，該表單啟用了回執(zhí)功能，會(huì)通過(guò)電子郵件向表單回應(yīng)者發(fā)送回應(yīng)副本，以便攻擊者可以發(fā)送邀請(qǐng)讓其自己完成表單并接收回應(yīng)。

安全研究員Mike Britton表示：由于攻擊者啟用了回執(zhí)選項(xiàng)，目標(biāo)收件人將收到已完成表單的副本，類(lèi)似Norton Antivirus軟件的付款確認(rèn)。

使用Google Forms的巧妙之處還在于回應(yīng)是從地址“forms-receipts-noreply@google[.]com”發(fā)送的，這是一個(gè)受信任的域名，因此有更高的繞過(guò)安全電子郵件網(wǎng)關(guān)的機(jī)會(huì)。Cisco Talos上個(gè)月曾披露過(guò)一起類(lèi)似的Google Forms釣魚(yú)活動(dòng)。

Britton解釋稱(chēng)：谷歌表單經(jīng)常使用動(dòng)態(tài)生成的 URL。這些 URL 不斷變化的特性可以躲避利用靜態(tài)分析和基于簽名的檢測(cè)的傳統(tǒng)安全措施，這些措施依賴于已知的模式來(lái)識(shí)別威脅。

威脅攻擊者利用More_eggs后門(mén)#瞄準(zhǔn)招聘人員

Proofpoint 在披露這一信息的同時(shí)，還揭露了一個(gè)新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)以招聘人員為目標(biāo)，直接發(fā)送電子郵件，最終導(dǎo)致一個(gè)名為 More_eggs 的 JavaScript 后門(mén)。

這家企業(yè)安全公司將這一攻擊浪潮歸咎于一個(gè) "技術(shù)嫻熟、有經(jīng)濟(jì)動(dòng)機(jī)的威脅行為者"，它追蹤到的TA4557有濫用合法信息服務(wù)和通過(guò)電子郵件提供虛假工作機(jī)會(huì)的記錄，并最終提供了More_eggs后門(mén)。

Proofpoint 說(shuō)：在使用新的電子郵件技術(shù)的攻擊鏈中，一旦收件人回復(fù)了最初的電子郵件，就會(huì)收到一個(gè)回復(fù)鏈接到行為者控制的網(wǎng)站的 URL。

另外，還觀察到該行為者回復(fù)了一個(gè) PDF 或 Word 附件，其中包含訪問(wèn)虛假簡(jiǎn)歷網(wǎng)站的說(shuō)明。

More_eggs以惡意軟件即服務(wù)（malware-as-a-service）的形式提供，諸如Cobalt Group（又名Cobalt Gang）、Evilnum和FIN6其他著名的網(wǎng)絡(luò)犯罪團(tuán)伙也在使用它。