近日，GuidePoint Research和Intelligence Team（GRIT）發(fā)現(xiàn)了一個針對英語使用者的持續(xù)釣魚活動，該活動已經(jīng)針對美國超過130家公司和組織。

研究人員指出，自2024年6月26日以來，這個威脅行為者注冊了與目標組織使用的VPN提供商相似的域名。威脅行為者通常會打電話給員工個人，假裝來自服務臺或IT團隊，并聲稱他們正在解決VPN登錄問題。如果這種社工攻擊嘗試成功，威脅行為者會發(fā)送一個短信鏈接給用戶，該鏈接指向假冒公司VPN的假網(wǎng)站。

該威脅行為者還為每個目標組織設置了自定義的VPN登錄頁面。與此活動相關(guān)的域名如下：

• ciscoweblink.com
• ciscolinkweb.com
• ciscolinkacc.com
• ciscoacclink.com
• linkciscoweb.com
• fortivpnlink.com
• vpnpaloalto.com
• linkwebcisco.com

這些頁面與每個組織的合法頁面非常相似，包括可用的 VPN 組。但是，在某些情況下，威脅行為者已將“TestVPN”和“RemoteVPN”等 VPN 組添加到虛假登錄頁面的下拉菜單中，這可能是作為社會工程攻擊中的一種策略。

通過這些虛假登錄頁面，威脅行為者能夠收集用戶的用戶名、密碼和令牌，即使存在多因素認證（MFA）也是如此。

如果 MFA 使用推送通知，則威脅行為者會指示用戶在社交工程調(diào)用期間批準推送通知。在最后一步中，用戶被重定向到目標組織的合法 VPN 地址，并可能被要求再次登錄，從而加強問題已解決的錯覺。

一旦威脅行為者獲得對網(wǎng)絡的VPN訪問權(quán)限，他們立即開始掃描網(wǎng)絡，以識別橫向移動、持久性和進一步權(quán)限提升的目標。

GRIT寫道：這種釣魚活動中使用的社會工程類型特別難以檢測，因為它通常發(fā)生在傳統(tǒng)安全工具的可見性之外，例如通過直接撥打用戶的手機號和使用短信/文本消息。

除非用戶報告收到這些類型的電話或消息，否則安全團隊甚至可能察覺不到。威脅行為者還可以通過這種方法針對多個用戶，直到他們成功地找到一個容易受到這種攻擊的用戶。

為了避免安全風險，用戶應對過去30天內(nèi)來自VPN分配IP地址的可疑活動日志進行詳細排查。如果發(fā)現(xiàn)任何成功的入侵跡象要立即與安全團隊溝通，并立刻采取相應措施。