最近几周,安全团队发现了一种复杂的新型恶意软件——GONEPOSTAL——它可以破坏 Microsoft Outlook 来传递命令和控制 (C2) 指令。
GONEPOSTAL 通过针对企业环境的鱼叉式网络钓鱼活动出现,伪装成良性的 Office 文档。
打开武器化附件后,受害者会在不知不觉中激活一个多阶段有效载荷,该载荷直接与 Outlook 的 COM API 交互,以发送和接收包含 C2 数据的加密电子邮件。
早期迹象表明,GONEPOSTAL 背后的威胁行为者旨在通过将网络流量隐藏在合法电子邮件流中来保持隐秘性,从而破坏传统的基于边界的防御。
Kroll 分析师指出,最初的攻击向量依赖于利用常见工作场所行为的社会工程策略。
该恶意文档利用高度混淆的 VBA 宏将轻量级启动器可执行文件放入用户的临时文件夹中。
一旦调用,启动器就会从远程服务器动态加载附加模块,并与常规 Outlook 操作融合。
这些辅助模块解析受害者的地址簿以识别可能进行横向移动的内部目标,然后制作带有嵌入在图像附件中的 base64 编码控制指令的出站电子邮件。
Kroll 研究人员发现,这种策略可以有效绕过大多数电子邮件网关设备,因为附件看起来像无害的公司徽标或宣传传单。
在第三阶段,GONEPOSTAL 通过在下创建注册表项来建立持久性HKCU\Software\Microsoft\Windows\CurrentVersion\Run,该注册表项引用名为“Company_Update.docx”的看似无害的 Word 文档。
该文档包含一个隐藏的 OLE 对象,当受害者通过 Outlook 预览打开该文档时,它会重新执行有效负载而不会引发任何安全提示。
此外,恶意软件将 DLL 写入AppData\Roaming\Microsoft\Outlook目录并将其注册到 Outlook 的插件框架中,确保 Outlook 的每个实例在启动时自动加载恶意组件。
由于该插件的名称为“OfficeUpdate”,因此受害者通常不知道威胁的存在。
GONEPOSTAL 的影响十分巨大。北美多家中型企业报告了不明原因的出站电子邮件流量激增,同时还出现了凭证盗窃和未经授权的文件传输。
调查异常 SMTP 会话的安全团队发现了伪装成内联图像的加密 JSON 对象,解密后揭示了系统侦察数据和远程 shell 命令。
这个动态 C2 通道使对手能够查询注册表项、操纵文件并转向域控制器,同时逃避标准检测签名。
感染机制
仔细检查 GONEPOSTAL 的感染机制后发现,该活动依赖于嵌入在陷阱文档中的精心设计的 VBA 宏。
宏代码经过了高度混淆,以掩盖其真实目的,首先声明了 Outlook COM 对象引用:
Dim OutlookApp As Object
Set OutlookApp = CreateObject("Outlook.Application")
Dim MailItem As Object
Set MailItem = OutlookApp.CreateItem(0)
MailItem.To = recipientAddress
MailItem.Subject = "Monthly Report"
MailItem.Attachments.Add payloadPath
MailItem.Send一旦执行,此代码片段不仅会调度初始有效负载,还会通过 Windows 任务计划程序安排后续任务,确保 Outlook 仍然是持续命令编排的主要渠道。
通过利用原生 Windows 和 Office 组件,GONEPOSTAL 避开了外部依赖,这使得通过传统网络监控工具进行精确定位变得尤为困难。
感染链最终会安装一个隐秘的 Outlook 插件,使攻击者能够收集已发送和已接收的电子邮件、秘密修改邮件内容以及在用户不知情的情况下发出新的 C2 命令。
这种模块化设计展现出高度的操作成熟度,表明威胁行为者非常擅长将恶意活动融入日常用户工作流程中。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
