思科警告：“关键更新”钓鱼攻击窃取用户 Webex 凭证

思科警告称，目前钓鱼攻击活动向受害者发布思科安全公告要求受害者更新以修复一个严重漏洞，然而实际上却是窃取思科 Webex 网络会议平台的凭证。

这次钓鱼活动主要针对的是远程工作浪潮。Cofense 公司钓鱼防御中心员工 Ashley Tran 表示，“攻击电话会议用户的事件并不新鲜。但由于多数组织机构遵循非核心员工在家工作的原则，远程工作人群的急剧增加成为攻击者欺骗 WebEx 等品牌的主要目标。我们预计未来几个月远程工作钓鱼活动将持续增加。”

研究人员表示，钓鱼邮件以各种吸引眼球的主题词发送如“关键更新”或“警报！”并发送自被欺骗的邮件地址。他们指出来自多个行业如医疗和金融领域的大量用户都收到了这些邮件，覆盖范围庞大。

研究人员表示，主题和邮件内容足以勾起用户的好奇心，从而按照钓鱼邮件的要求去做。邮件的主体部分嵌入了思科于2016年12月发布的一份安全公告并附有思科 Webex 品牌标识。该安全公告指出，CloudCenter OrchestratorDocker Engine （思科应用管理工具，这些应用用于多个数据中心、私有云和公有云环境）中含有一个合法漏洞 CVE-2016-9223，可导致未认证的远程攻击者以受影响系统上的高级别权限安装 Docker 容器。当时漏洞被披露时已遭利用。然而，该漏洞已在2016年发布的 CloudCenter Orchestrator4.6.2 版本中修复。

研究人员指出，“在这种场景下，威胁行动者欺骗了合法业务服务并解释了该服务软件中存在的问题，提示即使是非技术读者也继续读下去。威胁行动者甚至提供了该漏洞的合法 write-up，作为文本 ‘CVE-2016-9223’的超链接。”

钓鱼邮件告知受害者称，“要修复这个错误，我们推荐您升级思科 Meetings Desktop App forWindows 版本”，并将受害者指向一个 “Join” 按钮了解关于“更新”的更多信息。

威胁行动者在整个过程中看似事无巨细。如果收件人足够仔细地悬停在该按钮查看 URL 时会发现该地址 ([hxxps://globalpagee-prod-webex[.]com/signin])和思科 WebEx URL ([hxxps://globalpage-prod[.]webex[.]com/signin])极其相似。

点击 “Join” 按钮的受害者被重定向至和合法思科 WebEx 登录页面相似的钓鱼着陆页。研究人员表示二者的一个细微差别是，当在合法 Webex 页面输入邮件地址时，会检查是否存在关联账户；而在钓鱼页面任何邮件格式的条目都会直接让收件人进入下一个页面输入密码。

威胁行动者在发送钓鱼邮件几天前才通过 Public Domain Registry 才注册了和着陆页面相关联的欺诈性域名。该欺诈性域名仍然是使用状态而且在本周三仍然活跃。

研究人员表示，“攻击者甚至还为欺诈性域名获得一个 SSL 证书，获得终端用户的进一步信任。思科的官方证书得到 HydrantID 验证，而攻击者的证书得到 Sectigo Limited 验证。不管谁验证了攻击者的证书，结果是一样的：渲染邮件合法性的URL左侧的小锁骗过了很多用户。”

研究人员警告称，警惕恶意人员欺骗网络会议和虚拟协作应用。一般而言，攻击者会利用人们对新冠病毒的恐慌，发送围绕金融援助、治愈承诺和症状信息详情的钓鱼邮件。

https://threatpost.com/cisco-critical-update-phishing-webex/154585/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。