黑客在回拨网络钓鱼电子邮件中冒充知名网络安全公司，例如 CrowdStrike，以获得对公司网络的初始访问权限。

大多数网络钓鱼活动都嵌入了指向登录页面的链接，这些链接会窃取登录凭据或包含恶意附件的电子邮件以安装恶意软件。

但是，在过去一年中，威胁参与者越来越多地使用“回拨”网络钓鱼活动，这些活动冒充知名公司，要求您拨打电话解决问题、取消订阅续订或讨论其他问题。

当目标拨打电话号码时，威胁参与者使用社交工程来说服用户在他们的设备上安装远程访问软件，从而提供对公司网络的初始访问权限。然后使用此访问权限破坏整个 Windows 域。

冒充网络安全公司

在一个新的回调网络钓鱼活动中，黑客冒充 CrowdStrike 警告收件人恶意网络入侵者已经破坏了他们的工作站，并且需要进行深入的安全审计。

冒充 CrowdStrike 的网络钓鱼电子邮件

这些回调网络钓鱼活动专注于社会工程，详细解释了为什么应该授予他们访问收件人设备的权限，如下面的电子邮件片段所示。

“在日常网络审计中，我们发现了与您的工作站所属的网络段相关的异常活动。我们已经确定了管理网络的特定域管理员，并怀疑可能会影响该网络中的所有工作站的潜在危害包括你的。因此，我们正在对所有工作站进行详细审核。

我们已经直接联系了您的信息安全部门，但是，为了解决位置工作站的潜在危害，他们将我们转介给这些工作站的个人操作员，即员工。”

最终，网络钓鱼电子邮件要求员工使用随附的电话号码给他们打电话，以安排对其工作站的安全审计。

如果被调用，黑客将指导员工安装远程管理工具 (RAT)，使威胁参与者能够完全控制工作站。

这些威胁参与者现在可以远程安装其他工具，使他们能够通过网络横向传播、窃取公司数据，并可能部署勒索软件来加密设备。

在 CrowdStrike 的一份报告中，该公司认为该活动可能会导致勒索软件攻击，正如之前的回调网络钓鱼活动所见。

CrowdStrike 警告说：“这是第一个识别出的冒充网络安全实体的回调活动，鉴于网络违规的紧迫性，它具有更高的潜在成功率。”

CrowdStrike 指出，在 2022 年 3 月，其分析师发现了一次类似的活动，其中威胁参与者使用 AteraRMM 安装 Cobalt Strike，然后在部署恶意软件之前在受害者的网络上横向移动。

可能与 Quantum 勒索软件有关

2021 年，随着 Conti 勒索软件团伙使用BazarCall 网络钓鱼活动 获得对公司网络的初始访问权限，回调网络钓鱼活动变得普遍 。

从那时起，回调网络钓鱼活动使用了各种诱饵，包括 防病毒和支持订阅 以及 在线课程续订。

AdvIntel 的 Vitali Kremez 告诉 BleepingComputer，CrowdStrike 看到的活动据信是由 Quantum 勒索软件团伙发起的，他们发起了自己的类似 BazarCall 的活动。

“AdvIntel 于 2022 年 6 月 21 日发现，Quantum 正在准备一个新的 IOC，它基于一个冒充 Mandiant 或 CrowdStrike IT 专业人员的威胁行为者，以试图说服受害者允许威胁行为者对受害者的机器。” 阅读公司与 BleepingComputer 共享的Andariel 威胁预防解决方案的报告。

Quantum 是目前增长最快的以企业为目标的勒索软件操作之一，最近归因于对 PFC 的攻击，该攻击 影响了 650 多个医疗保健组织。

安全分析师还证实，由于研究人员和执法部门加强审查，许多前 Conti 成员在前操作关闭后跳槽到 Quantum。

虽然此类网络钓鱼电子邮件在过去很难获得大规模成功，但在当前情况下，由于许多员工在家远程工作，远离 IT 团队，威胁参与者的前景显着增加。