伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击

IT之家 3 月 8 日消息，微软 Defender 专家团队本周发布了最新安全报告，称其在 2026 年 2 月监测到多起由未知威胁行为者发起的钓鱼攻击活动。这些攻击利用常见的办公会议诱饵、PDF 附件以及对合法二进制文件的滥用，最终向受害者系统投递了带有有效数字签名的恶意软件。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 根据微软 Defender 遥测数据，安全研究人员通过取证分析发现，此次攻击活动围绕极具欺骗性的钓鱼邮件展开。邮件内嵌伪造的 PDF 附件或链接，伪装成会议邀请、财务文件、发票或组织通知。这些诱饵引导用户下载伪装成合法软件的恶意可执行文件，通常会伪装成 Teams、Zoom、Trust Connect、Adobe Reader 等文件。值得注意的是，这些文件均使用颁发给 TrustConnect Software PTY LTD 的扩展验证（EV）证书进行了数字签名。一旦用户执行，这些恶意应用便会部署远程监控和管理（RMM）工具，包括 ScreenConnect、Tactical RMM 和 Mesh Agent。这些工具使攻击者能够在受害系统中建立持久性访问，并可能进行横向传播。在其中一个被记录的活动中，受害者收到一封包含伪造 PDF 附件的邮件。该附件打开后仅显示一张模糊的静态图片，模仿受限文档的外观。图片上的红色按钮写着“在 Adobe 中打开”，诱导用户点击以继续访问文件。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 然而，点击后并不会显示文档，而是将用户重定向至一个精心伪装的仿冒网页，该页面酷似 Adobe 官方下载中心。页面提示用户的 Adobe Acrobat 版本过旧，并自动开始下载一个看似合法更新程序、实为 RMM 软件包的文件，而该软件包同样由 TrustConnect Software PTY LTD 进行了数字签名。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 在另一组活动中，攻击者被观察到分发极具迷惑性的 Teams 和 Zoom 钓鱼邮件，它们模仿真实的会议邀请、项目投标或财务通信。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 这些邮件包含嵌入的钓鱼链接，引导用户下载伪装成可信应用的软件。欺诈网站显示“版本过旧”或“需要更新”的提示，诱使用户操作，从而下载的所谓 Teams、Zoom 或谷歌 Meet 安装程序，实际上仍是同样由 TrustConnect Software PTY LTD 签名的远程监控和管理（RMM）软件。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 一旦用户从下载目录执行了伪装成 Workspace 应用的可执行文件（由 TrustConnect 签名），该程序会在 C:\Program Files 下创建自身的副本，以此强化其作为合法系统安装程序的外观。随后，程序将复制后的可执行文件注册为 Windows 服务，实现在系统启动时的持久化与隐蔽执行。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 作为持久化机制的一部分，该服务还在注册表中创建新的键，使其配置为开机自启动。此时，该服务会建立与攻击者控制的命令与控制（C2）域 trustconnectsoftware [.]com 的出站连接。安装阶段结束后，伪装的工作软件（TrustConnect RMM）启动经过编码的 PowerShell 命令，旨在从攻击者基础设施下载额外程序。这些 PowerShell 命令检索 ScreenConnect 客户端安装程序文件（.msi），并将其暂存于系统临时目录中，为二次部署做准备。随后，系统调用 Windows 的 msiexec.exe 实用程序执行暂存的安装文件，最终完成 ScreenConnect 的完整安装，并创建多个注册表项以确保持久性。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 在此案例中，活动可能涉及通过 MSI 包传递的 ScreenConnect 本地部署版本。默认情况下，本地部署的 ScreenConnect MSI 安装程序是未签名的。因此，在恶意活动中遇到未签名的安装程序，通常意味着该程序可能通过未经授权的渠道获取。对 ScreenConnect 二进制文件的审查显示，随安装程序释放的可执行文件所附带的签名证书早已被吊销。这种模式 —— 未签名的安装程序后跟带有无效签名的可执行文件 —— 在类似入侵中屡见不鲜。对注册表工件的分析表明，已安装的后门在多个 Windows 注册表位置创建并维护了多个 ScreenConnect 客户端相关的注册表值，深入嵌入操作系统。在这些注册表键中，嵌入的参数主要包括编码的标识符、回调令牌和连接元数据，确保了在系统重启或服务中断后能够无缝重建远程访问。IT之家注意到，此配置字符串主要指向位于 C:\Program Files (x86)\ScreenConnect Client [客户端 ID] 的 ScreenConnect.ClientService.exe 可执行文件，包含编码的有效载荷，详述了服务器地址、会话标识符和身份验证参数，确保后门具备可靠的持久性、操作隐蔽性和持续的 C2 可用性。分析过程中还发现，攻击者并未仅依赖恶意的 ScreenConnect 后门维持访问权限。同时，攻击者部署了额外的远程监控和管理工具，以加强立足点的冗余性并扩大对环境的控制。与 TrustConnect RMM 关联的伪装工作可执行文件启动了一系列编码的 PowerShell 命令 —— 同样用于部署 ScreenConnect—— 实现了从攻击者控制的服务器下载并安装 Tactical RMM。作为此次二次安装的一部分，Tactical RMM 的部署又进一步安装了 MeshAgent，提供了又一个远程访问渠道以实现持久化。伪造 PDF 与会议链接诱骗下载，微软曝光利用合法证书签名的多段式钓鱼攻击休闲区蓝鸢梦想 - Www.slyday.coM 在单次入侵中使用多个 RMM 框架，体现了攻击者精心设计的策略：确保持续访问，多样化 C2 能力，即使某一访问机制被检测或移除，仍能保持操作弹性。为降低此类威胁的影响，微软建议采取以下缓解措施：
广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，蓝鸢梦想所有文章均包含本声明。