一种复杂的凭据收集活动已经出现,针对 ScreenConnect 云管理员进行鱼叉式网络钓鱼攻击,旨在窃取超级管理员凭据。
自 2022 年以来,正在进行的行动(指定为 MCTO3030)一直保持一致的策略,同时通过每次活动运行发送多达 1,000 封电子邮件的小批量分发策略在很大程度上不被发现。
该活动专门针对高级 IT 专业人员,包括在 ScreenConnect 环境中拥有提升权限的主管、经理和安全人员。
攻击者利用 Amazon Simple Email Service 账户发送令人信服的网络钓鱼电子邮件,声称来自异常 IP 地址或地理位置的可疑登录活动,从而促使受害者立即采取行动。
Mimecast 分析师认为,这种持续存在的威胁尤其令人担忧,因为它与勒索软件作有明显的联系,研究表明麒麟勒索软件附属机构也有类似的目标模式。
收集到的超级管理员凭据可作为后续勒索软件部署的初始访问媒介,使攻击者能够同时将恶意 ScreenConnect 客户端推送到多个端点。
该活动采用具有 ScreenConnect 主题命名约定的国家/地区代码顶级域,包括 connectwise.com.ar、connectwise.com.be 和 connectwise.com.cm 等域,以创建令人信服的合法 ConnectWise 门户模拟。
一旦受害者单击网络钓鱼电子邮件中的“查看安全性”按钮,他们就会被重定向到非常模仿真实 ScreenConnect 界面的复杂虚假登录页面。
高级中间对手技术
该活动的技术复杂性集中在使用 EvilGinx 框架实施中间对手网络钓鱼,EvilGinx 框架是一种专门设计用于实时拦截凭据和多因素身份验证代码的开源工具。
此功能允许攻击者绕过许多组织所依赖的安全现代身份验证保护。
vilGinx 框架的运行方式是将自身定位在受害者和合法身份验证服务之间,捕获登录凭据,同时将身份验证请求转发到真正的 ScreenConnect 门户。
该技术可以收集时间敏感的 MFA 令牌,即使启用了多重身份验证,攻击者也能保持对受感染帐户的持久访问。
持续使用 Amazon SES 基础设施可提供高送达率,同时通过可信云服务绕过传统的电子邮件安全控制,展示了该活动的运营复杂性和长期战略规划。
