伪装技术支持垃圾邮件传播定制化Havoc C2攻击

威胁猎手发现了一项新的攻击活动，攻击者伪装成虚假IT支持人员，传播Havoc命令控制框架，作为数据泄露或勒索软件攻击的前奏。

Huntress公司上个月在五个合作机构中识别出这些入侵活动，威胁行为者使用垃圾邮件作为诱饵，随后通过IT服务台的电话激活分层恶意软件传输管道。

研究人员Michael Tigges、Anna Pham和Bryan Masters表示："在一个组织中，攻击者在十一个小时内从初始访问扩展到九个额外终端，部署了定制Havoc Demon载荷和合法远程监控管理工具的混合方案以维持持久性，横向移动的速度强烈暗示最终目标是数据泄露、勒索软件，或两者兼而有之。"

值得注意的是，这种作案手法与过去与Black Basta勒索软件操作相关的威胁行为者策划的电子邮件轰炸和Microsoft Teams钓鱼攻击一致。虽然该网络犯罪集团在去年其内部聊天记录公开泄露后似乎已经销声匿迹，但该集团剧本的持续存在表明两种可能的情况。

一种可能是前Black Basta关联人员已转向其他勒索软件操作并使用它们发动新的攻击，或者二，竞争对手威胁行为者采用了相同的策略来进行社会工程并获得初始访问权限。

攻击链始于垃圾邮件活动，旨在用垃圾邮件淹没目标的收件箱。在下一步中，伪装成IT支持的威胁行为者联系收件人，诱骗他们通过Quick Assist会话或安装AnyDesk等工具来授予对其机器的远程访问权限，以帮助解决问题。

获得访问权限后，攻击者立即启动网络浏览器并导航到托管在亚马逊网络服务上的虚假登录页面，该页面冒充Microsoft并指示受害者输入其电子邮件地址以访问Outlook的反垃圾邮件规则更新系统并更新垃圾邮件规则。

在伪造页面上点击"更新规则配置"按钮会触发脚本执行，显示要求用户输入密码的覆盖层。

Huntress表示："这种机制有两个目的：它允许威胁行为者收集凭据，与所需的电子邮件地址结合使用，提供对控制面板的访问权限；同时，它为交互增加了一层真实性，使用户相信该过程是真实的。"

攻击还依赖于下载所谓的反垃圾邮件补丁，这反过来导致执行名为"ADNotificationManager.exe"（或"DLPUserAgent.exe"和"Werfault.exe"）的合法二进制文件来侧载恶意DLL。DLL载荷实现防御规避，并通过生成包含Demon智能体的线程来执行Havoc shellcode载荷。

至少有一个已识别的DLL（"vcruntime140_1.dll"）融合了额外的技巧，通过控制流混淆、基于时间的延迟循环，以及Hell's Gate和Halo's Gate等技术来钩取ntdll.dll函数并绕过端点检测和响应解决方案，从而避开安全软件的检测。

研究人员说："在滩头主机上成功部署Havoc Demon后，威胁行为者开始在受害环境中进行横向移动。虽然初始的社会工程和恶意软件传输展示了一些有趣的技术，但随后的键盘操作活动相对直接。"

这包括创建计划任务，以在每次感染端点重启时启动Havoc Demon载荷，为威胁行为者提供持久的远程访问。话虽如此，已发现威胁行为者在一些受损主机上部署了Level RMM和XEOX等合法远程监控和管理工具，而不是Havoc，从而使其持久性机制多样化。

这些攻击的一些重要启示是，威胁行为者非常乐意冒充IT员工并拨打个人电话号码，如果这能提高成功率的话；曾经仅限于对大型公司或国家支持的活动攻击的防御规避等技术正变得越来越普遍；商品恶意软件被定制以绕过基于模式的签名。

同样值得注意的是攻击从初始妥协到横向移动的迅速而激进的进展速度，以及用于维持持久性的众多方法。

Huntress总结道："从'IT支持'的电话开始，最终变成完全被操控的网络妥协——修改的Havoc Demon部署在各个端点，合法的远程监控管理工具被重新用作备份持久性。这个活动是现代攻击者在每个阶段都增加复杂性的案例研究：社会工程获得入口，DLL侧载保持隐身，以及多样化的持久性来生存修复。"

Q&A

Q1：什么是Havoc命令控制框架？它有什么用途？

A：Havoc是一种命令控制框架，威胁行为者用它来远程控制被感染的计算机系统。在这次攻击中，攻击者使用定制的Havoc Demon载荷来维持对受害者网络的持久访问，为后续的数据泄露或勒索软件攻击做准备。

Q2：攻击者是如何伪装成IT支持人员进行攻击的？

A：攻击者首先发送大量垃圾邮件轰炸目标的收件箱，然后冒充IT支持人员打电话给受害者，声称要帮助解决垃圾邮件问题。他们诱导受害者安装远程访问工具如AnyDesk，然后引导访问虚假的微软页面来窃取凭据并安装恶意软件。

Q3：这种攻击与Black Basta勒索软件有什么关联？

A：这次攻击的作案手法与过去Black Basta勒索软件集团使用的电子邮件轰炸和钓鱼攻击非常相似。虽然该集团在内部聊天记录泄露后已经沉寂，但可能是其前成员转向其他勒索软件操作，或者其他威胁行为者采用了相同的攻击策略。