微軟研究人員在7月29日發布的一份博客文章指出，一種勒索軟件攻擊新方式正在流行，利用虛假的呼叫中心誘使受害者下載惡意軟件，可能比之前認為的更危險。由于惡意軟件并不存在于郵件本身的鏈接或文檔中，這種騙局有助于攻擊者繞過一些網絡釣魚和惡意軟件檢測服務。

　　今年2月，帕洛阿爾托網絡公司（Palo Alto Networks）的研究人員首先注意到了這個名為“bazcall”（BazarCall）的活動。

　　今年5月微軟首次發現并對其進行調查，攻擊者偽裝成訂閱服務提供商，引誘受害者使用手機取消一項不存在的訂閱。一旦接通呼叫中心，工作人員就會指導他們將惡意軟件下載到電腦上。

　　研究人員現在表示，這種惡意軟件不僅像之前認為的那樣，讓黑客可以通過一次性的后門進入設備，而且還可以遠程控制受影響的系統。犯罪分子通過電子郵件引誘目標，暗示某種服務的訂閱即將到期，比如健身會員。最近的活動已經變為軟件許可的確認收據。傳統的惡意軟件可能會引導用戶打開郵件中的鏈接或下載附件。bazcall的不同之處在于，每封電子郵件都包含一個唯一的ID號碼，并指示用戶撥打一個電話號碼，將他們與真人聯系起來。呼叫代理指示他們訪問一個看起來合法的網站，并告訴他們從帳戶頁面下載一個文件來取消訂閱。一旦用戶在下載的文檔上啟用宏，惡意軟件就會從Cobalt Strike信標發送。該工具是為合法目的而設計的，使用它可以幫助掩蓋惡意活動。

　　微軟的報告稱，雖然這樣的行動需要黑客掌握更多社會工程技術，但這種投遞方式使垃圾郵件和釣魚郵件檢測軟件基本失效。這可能使該方法成為試圖繞過日益嚴格審查的勒索軟件行動者的強大工具。

　　攻擊流程概述

　　微軟在7月29日的博客中表示，對BazaCall活動的持續調查，即那些使用欺詐性呼叫中心誘騙毫無戒心的用戶下載BazaLoader惡意軟件的活動，表明這種威脅比其他安全博客中公開討論和媒體報道的威脅更危險。除了具有后門功能外，來自這些活動的BazaLoader負載還為遠程攻擊者提供了對受影響用戶設備的手動鍵盤控制，從而實現了快速的網絡攻擊。根據我們的觀察，源自 BazaCall 威脅的攻擊可以在網絡內快速移動，進行廣泛的數據泄露和憑據盜竊，并在初始入侵后的48 小時內分發勒索軟件。

　　BazaCall活動放棄電子郵件中的惡意鏈接或附件，轉而使用誘導受害者撥打的電話號碼。這是一種讓人聯想到網絡釣魚和技術支持詐騙的技術，其中潛在的受害者被攻擊者冷呼叫，但在BazaCall的情況下，目標用戶必須撥打該號碼。當他們這樣做時，用戶會與線路另一端的實際人員聯系起來，然后他們提供將惡意軟件安裝到他們的設備中的步驟說明。因此，BazaCall活動需要與人類和社會工程策略的直接電話溝通才能取得成功。此外，投遞方法中沒有明顯的惡意元素可能會使垃圾郵件和網絡釣魚電子郵件檢測的傳統方法無效。

　　圖1 典型的 BazaCall 攻擊流程，從垃圾郵件到社會工程，

　　再到正在下載的有效負載和手動鍵盤攻擊

　　通過上述手動鍵盤控制，在BazaCall的攻擊鏈中使用另一種人為因素，進一步使這種威脅比傳統的自動化惡意軟件攻擊更危險、更容易躲避。BazaCall活動強調了跨域可見的重要性以及關聯事件在構建針對復雜威脅的全面防御方面的能力。

　　言精心設計的誘騙郵件

　　BazaCall的活動從一封電子郵件開始，利用各種社會工程誘餌誘使目標收件人撥打一個電話號碼。例如，電子郵件通知用戶一個假定的到期的試用訂閱，他們的信用卡將很快自動收取訂閱的高級版本的費用。該活動中的每一波郵件都使用了不同的訂閱“主題”，這些訂閱主題本應到期，比如照片編輯服務或烹飪和食譜網站會員資格。在最近的一次活動中，電子郵件取消了訂閱試用的角度，取而代之的是作為購買軟件許可的確認收據。

　　與典型的垃圾郵件和釣魚郵件不同，BazaCall的郵件正文中沒有用戶必須點擊或打開的鏈接或附件。相反，如果用戶有問題或擔憂，它會指示用戶撥打電話號碼。缺乏典型的惡意元素——鏈接或附件——增加了檢測和搜索這些電子郵件的難度。此外，如果用戶接受過嚴格的訓練，避免典型的網絡釣魚和惡意郵件，但沒有學會警惕社會工程技術，那么電子郵件內容的信息傳遞也可能增加一種合法性的氛圍。

　　圖2 這是一封典型的bazcall電子郵件，聲稱用戶的照片編輯服務試用期即將到期，并將自動收取費用。提供虛假的客戶服務號碼，幫助取消訂閱

　　bazcall的每一封郵件都來自不同的發件人，通常使用免費的電子郵件服務和可能被泄露的電子郵件地址。電子郵件中的誘餌使用與真實企業名稱相似的假企業名稱。然后，收件人在網上搜索該公司名稱，以檢查電子郵件的合法性，可能會被誤導，認為這樣的公司存在，他們收到的信息是有價值的。

　　下面列出了一些示例主題行。它們每個都有一個唯一的“賬號”，由攻擊者創建，用來識別收件人：

　　很快你就會成為高級會員，因為演示期即將結束。個人身份證：KT[唯一身份證號碼]

　　自動高級會員續簽通知GW[唯一ID號]

　　你的演示階段差不多結束了。您的用戶賬號VC[唯一ID號碼]。一切都準備好了嗎？

　　通知一處廢棄的交通事故現場！一定要找經理！[電子郵件正文包含唯一ID號碼]

　　感謝你決定成為BooyaFitness的會員。健身計劃從來沒有這么簡單過[電子郵件正文包含唯一的ID號]

　　您的訂閱將更改為黃金會員，因為試驗即將結束。訂單：KT[唯一身份證號]

　　你的自由時間快結束了。您的會員賬號VC[唯一身份證號]。準備好繼續前進了嗎？

　　謝謝你得到WinRAR pro計劃。您的訂單號是WR[唯一標識號]。

　　非常感謝您選擇WinRAR。您需要查看您的許可證信息[電子郵件正文包含唯一ID號]

　　雖然觀察到的大多數活動的主題行都包含類似的關鍵字和偶爾的表情符號，但每一個都是獨特的，因為它包含特定于收件人的字母數字序列。這個序列總是以用戶ID或交易代碼的形式呈現，但它實際上是攻擊者識別接收方并跟蹤后者對活動的響應的一種方法。唯一標識號的模式大致相同，可以用正則表達式表示，如L0123456789、KT01234567891。

　　誘導執行惡意代碼

　　如果目標收件人決定撥打電子郵件中顯示的電話號碼，他們將與bazcall運營商設立的欺詐性呼叫中心的真人通話。呼叫中心代理充當下一階段攻擊的通道：在他們的對話期間，代理告訴調用者，他們可以幫助取消假定的訂閱或事務。為此，代理要求來電者訪問一個網站。

　　這些網站被設計得看起來像合法的企業，其中一些甚至假冒真實的公司。然而，我們注意到，一些域名并不總是與電子郵件中包含的虛擬企業的名稱相匹配。例如，一封聲稱用戶“Pre Pear Cooking”的免費試用即將到期的電子郵件，就與域名“topcooks[.]us”配對。bazcall活動中使用的網站截圖。

　　圖3 bazcall活動中使用的樣本網站。它模仿了一個真正的食譜網站，但受到了攻擊者的控制

　　然后呼叫中心代理指示用戶導航到帳戶頁面并下載文件以取消訂閱。該文件是一個啟用宏的Excel文檔，其名稱如“cancel_sub_[惟一ID號].xlsb”。請注意，在某些情況下，研究人員觀察到，即使啟用了Microsoft Defender SmartScreen等安全過濾器，用戶也會故意繞過它來下載文件，這表明呼叫中心代理可能會指示用戶繞過安全協議，他們威脅說，如果他們不這樣做，他們的信用卡就會被扣款。這再次證明了BazaCall攻擊中使用的社交工程策略的有效性。

　　下載的Excel文件顯示一個虛假的通知，說它受到Microsoft Office的保護。然后，呼叫中心代理指示用戶單擊按鈕，使編輯和內容（宏）能夠查看電子表格的內容。如果用戶啟用宏，則BazaLoader惡意軟件將被發送到設備。從BazaCall活動使用的網站下載Excel文件的截圖。

　　圖4 攻擊者使用的Excel文檔，提示用戶啟用惡意代碼

　　關鍵數據竊取過程

　　在Excel文檔中啟用的宏會在%programdata%文件夾中創建一個隨機字符串命名的新文件夾。然后，它從System文件夾中復制certutil.exe，一個已知的本地二進制文件（LOLBin），并將certutil.exe的拷貝放到新創建的文件夾中，作為一種防御規避的手段。最后，對certutil.exe的副本進行重命名，以匹配文件夾名稱中的隨機字符串。

　　然后宏使用新命名的certutil.exe副本連接到攻擊者的基礎設施并下載BazaLoader。下載的有效載荷是一個惡意的動態鏈接庫（。dll），由rundll32.exe加載。Rundll32然后注入一個合法的MsEdge.exe進程連接到BazaLoader命令和控制（C2），并通過使用Edge在Startup文件夾中創建一個。lnk（快捷方式）文件來建立持久性。MsEdge.exe還可用于偵察、收集系統和用戶信息、網絡中的域和域信任。

　　rundll32.exe進程檢索一個Cobalt Strike信標，使攻擊者能夠用手對鍵盤控制設備。現在通過直接訪問，攻擊者對網絡進行偵察，搜索本地管理員和高權限域管理員帳戶信息。

　　攻擊者還使用ADFind進行進一步的廣泛偵察，ADFind是一種免費的命令行工具，用于發現活動目錄。通常，從這種偵察中收集的信息被保存到一個文本文件中，并由攻擊者使用命令提示符中的“Type”命令查看。

　　一旦攻擊者在網絡上建立了目標設備列表，他們就會使用Cobalt Strike定制的內置PsExec功能橫向移動到目標設備。攻擊者登陸的每個設備都與Cobalt Strike C2服務器建立連接。此外，某些設備還被用來進行額外的偵察，下載旨在竊取瀏覽器口令的開源工具。在某些情況下，攻擊者還使用WMIC橫向移動到高價值目標，如域控制器。

　　當攻擊者落在選定的高價值目標上時，他們使用7-Zip來保存知識產權以便外逃。歸檔文件以它們所包含的數據類型命名，比如IT信息，或者關于安全操作、財務和預算的信息，以及特定于每個目標行業的細節。然后，攻擊者使用開源工具的重命名版本RClone，將這些檔案轉移到攻擊者控制的域。顯示從BazaCall活動感染BazaLoader后攻擊者活動的圖表。

　　圖5 目標上的后續攻擊活動，包括數據滲漏和勒索軟件

　　最后，在域控制器上，攻擊者使用ntdsutil .exe（通常用于創建和維護Active Directory數據庫的合法工具）來創建NTDS的副本。dit活動目錄數據庫，在%programdata%或%temp%文件夾中，用于后續的導出。被忽略的。Dit包含域內所有用戶的用戶信息和密碼哈希。

　　在某些情況下，數據外泄似乎是攻擊的主要目標，這通常是為未來的活動做準備。然而，在其他情況下，攻擊者在執行上述活動后部署勒索軟件。在那些被投放勒索軟件的案例中，攻擊者使用高特權賬戶，結合Cobalt Strike的PsExec功能，將Ryuk或Conti勒索軟件載荷投放到網絡設備上

　　基于跨域可見性和威脅情報的bazcall攻擊檢測

　　雖然許多網絡安全威脅依賴于自動的、由戰術驅動（例如，利用系統漏洞來丟棄惡意軟件或損害合法網站進行水坑攻擊）或開發先進的檢測逃避方法，但攻擊者繼續在攻擊中發現社會工程和人際互動方面的成功。bazcall的活動將其發送的電子郵件中的鏈接和附件替換為電話號碼，這給檢測帶來了挑戰，尤其是傳統的反垃圾郵件和反釣魚解決方案對這些惡意指標的檢測。

　　BazaCall的電子郵件中缺乏典型的惡意元素，其運營商發起攻擊的速度之快，證明了如今企業面臨的威脅越來越復雜，越來越難以躲避。Microsoft 365 Defender提供了跨域可見性和協同防御，以保護客戶免受此類威脅。鑒于BazaCall的獨特特性，跨端點和電子郵件關聯事件的能力對它來說至關重要。Microsoft Defender for Endpoint檢測植入物如BazaLoader和Cobalt Strike，有效載荷如Conti和Ryuk，以及隨后的攻擊行為。這些端點信號與電子郵件威脅數據相關，通知Microsoft Defender for Office 365阻止BazaCall電子郵件，即使這些電子郵件沒有典型的惡意構件。

　　Microsoft 365 Defender進一步使組織能夠通過豐富的調查工具（如高級狩獵）來防御這種威脅，允許安全團隊定位相關或類似的活動并無縫地解決它們。