HTML 走私被駭客頻繁的在惡意軟體和網路釣魚攻擊中使用

HTML 走私技術作為獲取初始存取權限和部署一系列威脅的手段，被攻擊者越來越多地使用在網路釣魚活動中的，包括但不限於銀行惡意軟體、遠端管理木馬(RAT) 以及勒索軟體payload等。

Microsoft 365 Defender 威脅情報團隊在周四發布了一份新報告，他們在報告中稱發現了目前正在傳播的Mekotio銀行木馬、AsyncRAT、NjRAT等後門，以及臭名昭著的TrickBot惡意軟體的滲透。 2021 年7 月，Menlo Security 也公開記錄了這種名為ISOMorph的多階段攻擊。

HTML走私是一種允許攻擊者透過利用HTML5和JavaScript中的基本功能，而不是利用現代web瀏覽器中的漏洞或設計缺陷，在受害者機器上「走私」第一階段投放程式的方法，通常是將惡意腳本嵌入在精心編製的HTML附件或網頁中的攻擊手法。

透過這種方式，攻擊者可以利用JavaScript在HTML頁面上以程式設計方式建構payload，並且不用發出HTTP請求來取得web伺服器上的資源，同時還可以規避一些安全產品的阻止。

「當受害者在其網頁瀏覽器中開啟HTML，瀏覽器會自動解析惡意腳本，這反過來，組裝主機裝置上的有效載荷，」研究人員說。 “因此，攻擊者不是讓惡意可執行文件直接通過網絡，而是在防火牆後面本地構建惡意軟體。”

研究人員說：“當受害者在其網頁瀏覽器中開啟HTML時，瀏覽器會自動解析惡意腳本，從而在受害者的裝置上執行payload。”

因此，攻擊者不是讓惡意的可執行檔直接通過網路攻擊目標，而是在防火牆後透過本地建立惡意軟體的方式來攻擊目標。

微軟指出，HTTP走私繞過網路代理和電子郵件網關的能力，使其成為不少「國家隊」和網路犯罪集團在現實世界攻擊中傳播惡意軟體的一種高效的方法。

今年5月早些時候，有組織稱為SolarWinds 供應鏈駭客背後的威脅組織Nobelium 被發現利用這種非常攻擊方式來針對包括美國在內的24個國家的政府機構、智囊團、顧問以及非政府組織。

除了間諜活動之外，HTML 走私通常也被用於涉及Mekotio 木馬的銀行惡意軟體攻擊，攻擊者發送包含惡意連結的垃圾郵件，當受害者點擊該連結後，會觸發下載ZIP 文件，該文件又包含一個JavaScript 檔案下載器，用於檢索能夠進行憑證竊取和鍵盤記錄的二進位檔案。

但也有跡象表明，有些其他參與者正在將HTML 走私納入他們的武器庫，9月份由DEV-0193發起的電子郵件活動被發現，濫用同樣的方法來提供TrickBot，這些攻擊涉及惡意HTML附件，當在web瀏覽器上開啟該附件時，會在收件者的系統上建立一個受密碼保護的JavaScript文件，提示受害者提供原始HTML附件中的密碼。

這樣做會啟動JavaScript 程式碼中的執行，隨後啟動Base64編碼的PowerShell命令，和攻擊者控制的伺服器進行通信，然後下載TrickBot惡意軟體，最終為後續勒索軟體攻擊鋪平道路。

「電子郵件活動中使用HTML 走私攻擊方式的攻擊激增，是攻擊者不斷改進其攻擊方式以達到規避效果的一個例子，」 微軟指出。 「 這種攻擊方式顯示了戰術、技術和程序（TTP）是如何從網路犯罪集團滲透到APT 攻擊的，此外，它還強化了黑市經濟，在這種情況下，TTP在被認為是一種有效的技術時，就會被商品化」。