文章总结： 微软警告针对美国国税局的网络钓鱼攻击影响约2.9万名用户，攻击者利用税务诱饵分发合法RMM工具获取持久访问。手段涵盖PhaaS平台、二维码欺骗及滥用URL重写服务逃避检测，目标涉及金融科技行业。建议实施多因素认证、监控邮件并审核未授权RMM工具，以应对滥用合法IT工具进行数据窃取和系统控制的风险。 综合评分： 91 文章分类： 威胁情报,社会工程学,恶意软件,安全运营

微软警告美国国税局网络钓鱼攻击29,000名用户，部署RMM恶意软件

HackSee安全生活

2026年3月24日 14:27 北京

电子邮件活动利用电子邮件的紧迫性和时间敏感性发送网络钓鱼信息，伪装成退款通知、工资单表格、归档提醒和税务专业人员的请求，欺骗收件人打开恶意附件、扫描二维码或与可疑链接进行交互。

微软威胁情报和微软防御安全研究团队在上周发布的一份报告中表示：“许多攻击都是针对个人和财务数据窃取，但其他攻击则专门针对会计师和其他处理敏感文件、有权访问财务数据、并习惯于在此期间接收与税务相关电子邮件的专业人士。”

虽然其中一些努力将用户引导到通过网络钓鱼即服务（Phishing-as-a-service, PhaaS）平台设计的粗略页面，但其他努力导致部署合法的远程监控和管理工具（rmm），如ConnectWise ScreenConnect、Datto和SimpleHelp，从而使攻击者能够获得对受损设备的持久访问。

以下是其中一些活动的细节

• 使用注册会计师（CPA）引诱发送与Energy365 PhaaS套件相关联的网络钓鱼页面，以捕获受害者的电子邮件和密码。据估计，Energy365网络钓鱼工具包每天都会发送数十万封恶意电子邮件。
• 使用QR码和W2诱饵攻击了大约100家组织，主要是位于美国的制造业、零售业和医疗保健行业，将用户引导到模仿Microsoft 365登录页面的网络钓鱼页面，并使用SneakyLog（又名Kratos） PhaaS平台构建，以窃取他们的凭据和双因素身份验证（2FA）代码。
• 使用以税务为主题的域名进行网络钓鱼活动，欺骗用户点击虚假链接，借口是访问最新的税务表格，只是为了分发ScreenConnect。
• 利用专门针对美国高等教育部门的加密货币诱饵冒充美国国税局（IRS），指示收件人通过访问恶意域名（” IRS -doc[.]com”；或”；gov-irs216[.]net”）下载“加密货币税表1099″；，以提供ScreenConnect或SimpleHelp。
• 以会计师和相关机构为目标，通过发送导致安装Datto的恶意链接，请求帮助提交税款。

微软表示，它还在2026年2月10日观察到一次大规模的网络钓鱼活动，其中有10,000个组织的29,000多名用户受到影响。大约95%的攻击目标位于美国，涉及金融服务（19%）、技术和软件（18%）、零售和消费品（15%）等行业。

这些电子邮件冒充美国国税局，声称可能不正常的纳税申报表是用收件人的电子申报识别号码（EFIN）提交的。这家科技巨头说，收件人被指示通过下载据称合法的“IRS Transcript Viewer”来查看这些申报表。

这些电子邮件是通过亚马逊简单电子邮件服务（SES）发送的，其中包含一个“下载IRS成绩单查看5.1”按钮，点击该按钮后，用户将被重定向到smartvault。im是一个伪装成知名文档管理和共享平台SmartVault的域名。

该钓鱼网站依靠Cloudflare来阻止机器人和自动扫描仪，从而确保只有人类用户才能获得主要有效载荷：一个恶意打包的ScreenConnect，允许攻击者远程访问他们的系统，并促进数据盗窃、凭证收集和进一步的开发后活动。

为了防止这些攻击，建议组织对所有用户实施2FA，实施有条件的访问策略，监控和扫描传入的电子邮件和访问的网站，并防止用户访问恶意域。

与此同时，还发现了几起攻击活动，这些活动被发现会发布远程访问恶意软件或进行数据盗窃

• 使用虚假的b谷歌Meet和Zoom页面引诱用户进行欺诈性视频通话，最终通过虚假的软件更新提供远程访问软件，如合法的员工监控平台Teramind。
• 利用一个欺诈性网站，利用Avast品牌欺骗法语用户交出他们的全部信用卡详细信息，作为退款骗局的一部分。
• 使用一个假冒Telegram官方下载门户网站（” Telegram [.]com”）来分发木马化的安装程序，这些安装程序除了删除合法的Telegram安装程序外，还执行一个DLL，负责启动内存中的有效负载。然后，恶意软件启动与其命令和控制基础设施的通信，以接收指令，下载更新的组件，并保持持久访问。
• 滥用Microsoft Azure Monitor警报通知，发送使用发票和未经授权的付款诱饵的回调网络钓鱼电子邮件。LevelBlue表示，攻击者创建恶意的Azure Monitor警报规则，在警报描述中嵌入诈骗内容，包括虚假的账单详细信息和攻击者控制的支持电话号码。然后将受害者添加到链接到警报规则的行动组中，使Azure从合法发件人地址[email protected].”；
• 在钓鱼邮件中使用以报价为主题的诱饵来发送一个JavaScript drop，该drop连接到外部服务器以下载PowerShell脚本，该脚本启动受信任的Microsoft应用程序“aspnet_compiler .exe”，并通过反射DLL注入向其注入XWorm 7.1有效载荷。更新后的恶意软件带有。net开发的组件，设计用于隐身和持久性。类似的报价诱饵请求也被用于触发无文件的Remcos RAT感染链。
• 使用网络钓鱼邮件和ClickFix策略交付NetSupport RAT和获得未经授权的系统访问，泄露数据，并部署额外的恶意软件。
• 在网络钓鱼邮件中使用Microsoft应用程序注册重定向URI （”login.microsoftonline[.]com”）滥用信任关系，绕过电子邮件垃圾邮件过滤器，将用户重定向到捕获受害者凭据和2FA代码的网络钓鱼网站。
• 滥用来自Avanan， Barracuda, Bitdefender, Cisco， INKY, Mimecast, Proofpoint， Sophos和趋势科技的合法URL重写服务来隐藏网络钓鱼电子邮件中的恶意URL以逃避检测。LevelBlue表示，威胁行为者越来越多地在他们的网络钓鱼活动中采用多供应商链重定向。早期的活动通常依赖于单一的重写服务，但较新的活动将多层已经重写的链接堆叠在一起。这种嵌套使得安全平台很难重建完整的重定向路径并识别最终的恶意目的地。
• 使用恶意ZIP文件冒充各种软件，包括人工智能（AI）图像生成器、语音转换工具、股票市场交易实用程序、游戏模型、vpn和模拟器，以提供Salat Stealer或MeshAgent以及加密货币挖矿器。该活动专门针对美国、英国、印度、巴西、法国、加拿大和澳大利亚的用户。
• 使用通过网络钓鱼邮件发送的数字邀请诱饵将用户转移到一个虚假的Cloudflare CAPTCHA页面，该页面提供了一个VBScript，然后运行PowerShell代码来获取规避。NET加载程序从谷歌驱动器命名为SILENTCONNECT，最终提供ScreenConnect。

根据Huntress最近发布的一份报告，在此之前，威胁行为者对RMM的采用有所增加，滥用此类工具的人数同比激增277%。该公司补充说，一个值得注意的策略涉及不同RMM工具的菊花链，以分段遥测，分发持久性，并使归因和遏制工作复杂化。

弹性安全实验室的研究人员Daniel Stepanic和Salim Bitam说：“由于这些工具是由合法的IT部门使用的，它们通常被忽视，在大多数企业环境中被认为是‘可信的’。”组织必须保持警惕，审核其环境中未经授权的RMM使用情况。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HackSee安全生活 《微软警告美国国税局网络钓鱼攻击29,000名用户，部署RMM恶意软件》