近日，GuidePoint Research和Intelligence Team（GRIT）發(fā)現(xiàn)了一個(gè)針對(duì)英語使用者的持續(xù)釣魚活動(dòng)，該活動(dòng)已經(jīng)針對(duì)美國超過130家公司和組織。

研究人員指出，自2024年6月26日以來，這個(gè)威脅行為者注冊(cè)了與目標(biāo)組織使用的VPN提供商相似的域名。威脅行為者通常會(huì)打電話給員工個(gè)人，假裝來自服務(wù)臺(tái)或IT團(tuán)隊(duì)，并聲稱他們正在解決VPN登錄問題。如果這種社工攻擊嘗試成功，威脅行為者會(huì)發(fā)送一個(gè)短信鏈接給用戶，該鏈接指向假冒公司VPN的假網(wǎng)站。

該威脅行為者還為每個(gè)目標(biāo)組織設(shè)置了自定義的VPN登錄頁面。與此活動(dòng)相關(guān)的域名如下：

• ciscoweblink.com
• ciscolinkweb.com
• ciscolinkacc.com
• ciscoacclink.com
• linkciscoweb.com
• fortivpnlink.com
• vpnpaloalto.com
• linkwebcisco.com

這些頁面與每個(gè)組織的合法頁面非常相似，包括可用的 VPN 組。但是，在某些情況下，威脅行為者已將“TestVPN”和“RemoteVPN”等 VPN 組添加到虛假登錄頁面的下拉菜單中，這可能是作為社會(huì)工程攻擊中的一種策略。

通過這些虛假登錄頁面，威脅行為者能夠收集用戶的用戶名、密碼和令牌，即使存在多因素認(rèn)證（MFA）也是如此。

如果 MFA 使用推送通知，則威脅行為者會(huì)指示用戶在社交工程調(diào)用期間批準(zhǔn)推送通知。在最后一步中，用戶被重定向到目標(biāo)組織的合法 VPN 地址，并可能被要求再次登錄，從而加強(qiáng)問題已解決的錯(cuò)覺。

一旦威脅行為者獲得對(duì)網(wǎng)絡(luò)的VPN訪問權(quán)限，他們立即開始掃描網(wǎng)絡(luò)，以識(shí)別橫向移動(dòng)、持久性和進(jìn)一步權(quán)限提升的目標(biāo)。

GRIT寫道：這種釣魚活動(dòng)中使用的社會(huì)工程類型特別難以檢測(cè)，因?yàn)樗ǔ０l(fā)生在傳統(tǒng)安全工具的可見性之外，例如通過直接撥打用戶的手機(jī)號(hào)和使用短信/文本消息。

除非用戶報(bào)告收到這些類型的電話或消息，否則安全團(tuán)隊(duì)甚至可能察覺不到。威脅行為者還可以通過這種方法針對(duì)多個(gè)用戶，直到他們成功地找到一個(gè)容易受到這種攻擊的用戶。

為了避免安全風(fēng)險(xiǎn)，用戶應(yīng)對(duì)過去30天內(nèi)來自VPN分配IP地址的可疑活動(dòng)日志進(jìn)行詳細(xì)排查。如果發(fā)現(xiàn)任何成功的入侵跡象要立即與安全團(tuán)隊(duì)溝通，并立刻采取相應(yīng)措施。