【安全资讯】3AM勒索软件利用伪装IT电话和邮件轰炸攻击网络

概要：

近期，3AM勒索软件通过伪装IT支持电话和邮件轰炸，针对企业员工进行高度定向的社会工程攻击，诱使他们提供远程访问凭证。这种攻击手法的有效性促使其在网络犯罪团伙中广泛采用，尤其是与Black Basta和FIN7等团伙相关联。

主要内容：

3AM勒索软件的攻击者在2025年第一季度针对Sophos的一名客户实施了攻击，采用了伪装真实IT部门电话号码的方式进行电话钓鱼。在一次邮件轰炸中，目标员工在三分钟内收到了24封未经请求的邮件，攻击者利用这一时机进行电话联系，声称是对恶意活动的响应，成功说服员工打开Microsoft Quick Assist并授予远程访问权限。

随后，攻击者从伪装域名下载并提取了一个恶意压缩包，内含VBS脚本、QEMU模拟器和预装QDoor后门的Windows 7镜像。QEMU的使用使得攻击者能够通过在虚拟机上路由网络流量来规避检测，从而实现持久且隐蔽的网络访问。攻击者利用WMIC和PowerShell进行侦察，并创建本地管理员账户以通过RDP连接，最终成功入侵了域管理员账户。

尽管Sophos的产品阻止了横向移动和防御停用的尝试，但攻击者仍然成功将868GB的数据通过GoodSync工具外泄至Backblaze云存储。攻击持续了9天，数据盗窃在第三天完成，随后攻击者被阻止进一步扩散。Sophos建议企业审计管理账户的安全性，使用XDR工具阻止未授权的合法工具，并加强员工的安全意识，以有效防范此类攻击。