威胁行为者利用日历订阅实施钓鱼攻击与恶意软件分发

HackerNews 编译，转载请注明出处： 威胁行为者被发现操纵数字日历订阅基础设施，用于分发有害内容。 日历系列订阅功能允许第三方直接向设备添加事件并推送通知，例如零售商分享促销日期、体育协会更新赛事日程等合法场景。 但网络安全公司 BitSight 的最新研究显示，正因为这类订阅支持第三方服务器直接添加事件，威胁行为者已搭建虚假基础设施，诱骗用户订阅恶意通知。这些恶意日历订阅通常托管在过期或被劫持的域名上，可被用于大规模社会工程学攻击。 一旦用户订阅成功，攻击者便能推送包含恶意内容的日历文件（如恶意链接、附件），引发的风险包括钓鱼攻击、恶意软件分发、JavaScript 代码执行，甚至利用人工智能助手等新兴技术实施新型攻击。 Sinkhole 研究发现 347 个可疑日历域名 BitSight 的研究始于一个被 “Sinkhole（沉洞）” 接管的域名 —— 该域名每日记录到 1.1 万个独立 IP 地址的访问请求。沉洞技术是网络安全研究中的常用手段，通过将恶意流量从目标地址重定向至受控环境（即沉洞服务器），以实现流量监测与分析。 这个初始沉洞域名原本是一个日历服务器，用于分发德国公共假期及学校假期的 ICS 格式日历文件。BitSight 研究人员表示：“这引起了我们的注意 —— 一个提供德国假期 ICS 文件的域名，为何会处于可被滥用的状态？” 随着调查范围扩大，研究团队又发现 347 个相关可疑域名（涉及 2018 年国际足联世界杯赛事、伊斯兰 Hijri 日历等主题）。这些域名每日累计接收约 400 万个独立 IP 地址的访问请求，其中美国地区的访问量占比最高。 BitSight 团队在沉洞数据中识别出两类同步请求，这强烈表明这些访问并非新订阅行为，而是来自先前已订阅日历的后台同步请求。研究人员指出：“这意味着，任何接管或注册这些过期域名的攻击者，都能通过推送定制化 ICS 日历文件，在用户设备中添加恶意事件。” 日历订阅成被忽视的安全盲点 该网络安全公司强调，此次研究并未发现谷歌日历（Google Calendar）或 iCalendar 协议存在漏洞，安全风险的核心源于第三方日历订阅服务。尽管苹果、谷歌等平台提供商已在生态安全防护方面取得显著进展，但 BitSight 的研究结果表明，即便其他领域的安全防护已相当完善，日历订阅滥用这类新兴风险仍可能未得到充分应对。 报告结论指出：“针对日历订阅的安全意识与防护措施应进一步强化 —— 尤其是相较于监控严密、防护完善的电子邮件系统，当前日历订阅的安全防护失衡，已在个人与企业安全体系中形成危险盲点。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文