2024 年 9 月出现了一场冒充美国社会保障局的网络钓鱼活动，它向电子邮件发送嵌入了 ConnectWise 远程访问木马 (RAT) 安装程序链接的电子邮件。

这些电子邮件伪装成更新的福利声明，采用了各种技巧，包括不匹配的链接和“查看声明”按钮，以欺骗收件人。

它最初利用ConnectWise基础设施进行命令和控制 (C2)，但后来转变为动态 DNS 服务和威胁行为者托管的域。

据观察，活动在 11 月初至中旬显著增加，并在选举日左右达到顶峰，这表明它可能与政治选举有关。

威胁行为者在针对个人的电子邮件活动中采用了复杂的欺骗策略，利用社会保障管理局合法的福利来制造假象。

通过仿政府官方网页的欺骗性链接，使用邮件诱骗收件人点击。

这可能导致恶意软件感染或数据盗窃。

使用品牌图像资产的欺骗社会保障管理局电子邮件示例

通过使用欺骗性的攻击，嵌入式链接能够在用户首次访问链接时将用户重定向到 ConnectWise RAT 安装程序。

然而，随后尝试访问同一链接时，用户会被重定向到合法的社会保障管理局网站，这表明使用浏览器 cookie 来追踪以前的访问。

通过在第一次访问时设置 cookie，系统可以区分初次尝试和重复尝试。

这有效地将恶意软件传递到精准用户，从而使识别恶意攻击更具挑战性。

当后续尝试访问该链接时，该网站会重定向到官方网站

威胁行为者利用社会工程技术部署凭证网络钓鱼活动，他们制作模仿合法实体（例如社会保障局）的电子邮件来诱骗受害者点击恶意链接。

据Cofense Intelligence称，这些链接通常会将用户引导至伪装成官方门户的网站，要求用户提供敏感的个人信息。这些数据（包括 PII、财务信息以及母亲娘家姓氏等安全问题）会被收集起来，用于身份盗窃和账户接管。

网络钓鱼页面还可能包含远程访问木马 (RAT) 等恶意下载，从而允许攻击者远程控制受害者的设备。

这使得威胁行为者能够侵入账户、窃取资金，并可能进一步利用受害者的数字足迹。

参考及来源：https://gbhackers.com/connectwise-rat/