7月初，通过分发LokiBot信息窃取者有效载荷的垃圾邮件运动，大约有100个组织成为大规模鱼叉网络钓鱼的目标。

攻击者以凭据盗窃为目标，攻击了来自世界各地的企业，重点攻击了阿拉伯联合酋长国，德国和葡萄牙的公司。

盗窃信息的Lokibot恶意软件（一种已知已在各种地下站点上进行广告和销售的病毒），是威胁参与者选择的工具，一旦他们设法破坏并感染目标计算机，它们便会收集和泄露敏感数据。

但是，正如发现该攻击的Microsoft Defender ATP研究团队所说，“ Microsoft Defender ATP中的行为阻止和遏制功能在攻击的早期阶段成功检测到并挫败了该攻击，从而保护了客户免受损害。”

凭证盗窃攻击链

为了分发Lokibot负载，攻击者使用了针对性强的鱼叉式网络钓鱼电子邮件，其中包含专门针对目标组织的内容。

例如，对于一家制药公司，他们“使用制药行业的行话来提高电子邮件的信誉，在一种情况下，要求对目标公司可能生产的成分进行报价。”

网络钓鱼邮件样本

为了破坏受害者的系统，当目标打开诱饵文档时，网络钓鱼电子邮件附件将从攻击者控制的WordPress网站加载恶意代码。

下一步，远程加载的利用代码将滥用Microsoft Office Equation Editor组件中的 CVE-2017-11882远程执行代码漏洞 ，并且在成功利用Lokibot恶意软件后，将其下载并删除。

LokiBot会收集尽可能多的敏感信息，这些信息随后会通过HTTP POST请求传递到恶意软件操作员的命令和控制（C2）服务器。

LokiBot恶意软件以窃取各种各样的凭据而闻名，包括但不限于电子邮件帐户密码，FTP凭据，浏览器存储的密码等等。

被 Microsoft Defender ATP 阻止的攻击

但是，正如 微软所说 ，“ Microsoft Defender ATP中 内置的基于行为的机器学习模型在攻击链中的两个点都抓住了攻击者的技术。”

更准确地说，它设法检测到恶意攻击的利用行为以及用于在将其恶意代码取消映射后将恶意代码注入运行中的进程的挖空技术。

攻击链

上个月，微软的研究人员还 发现了一个新的无文件恶意活动， 该 活动 由Microsoft Defender ATP研究团队 命名为Nodersok， 由Cisco Talos 命名为 Divergent ，并在放下LOLBins并使用基于Node.js的恶意软件感染Windows系统的情况下进行了观察代理。

七月份，微软发现了另一个 无文件恶意软件活动，该活动将信息窃取者Astaroth Trojan 放入了受感染计算机的内存中。

就像9月份检测到Nodersok攻击一样，传递Astaroth负载的攻击使用了各种无文件技术和多阶段感染链，最初的媒介是带有恶意链接的鱼叉式网络钓鱼电子邮件。

原文链接： https://www.bleepingcomputer.com/news/security/microsoft-blocks-credential-theft-attack-targeting-dozens-of-orgs/

转载自安全加：http://toutiao.secjia.com/article/page?topid=112044