网络钓鱼伪装成LinkedIn的职缺,散播木马程序

疫情的影响,导致许多人失业,因此,LinkedIn出现符合个人条件的职缺,是很吸引人的。只不过,有心人利用这点,作为感染的开端。

安全厂商eSentire发现,在LinkedIn寻找工作的用户,收到符合个人条件的职缺压缩文件,当用户打开文件后,就会触发恶意安装。但他们表示,这次策划利用LinkedIn职缺,进行感染的组织,未查证出是来自哪一个黑客团体,但这起攻击的工具,被称为more_egg,不过,这个工具本来就存在,曾被FIN6、Cobalt团体及Evilnum这三个威胁组织使用过。

而这次的more_egg,其实是来自威胁组织Golden Chickens,他们提供恶意软件即服务(MaaS),将后门出售给网络犯罪份子(如上述的三个威胁团体)。因此,一旦在受害者的设备上发现more_egg,Golden Chickens的客户就能通过受感染的设备进行恶意行为,包括上述的窃取资料,或是安装勒索软件等。

不过,这次的钓鱼攻击,eSentire表示,未查证出是来自哪一个黑客团体,但目前得知more_egg这个恶意软件即服务,曾被FIN6、Cobalt团体及Evilnum这三个威胁组织使用。

关于攻击者发送的这个恶意的压缩文件,里面藏有木马程序,黑客的目的是想操控感染的计算机或设备,进行恶意行为。而感染的过程,是当LinkedIn用户打开了压缩文件后,就会在背景中执行名为more_egg的无文件后门程序,而在初始阶段,会偷偷地先被执行VenomLNK该恶意程序,通过滥用Windows Management Instrumentation(WMI),激活恶意软件插件程序下载器TerraLoader,该下载器控制了Windows认可的处理程序文件cmstp和regsvr32,当启动了TerraLoader,就会向受害者显示诱饵的word文档。而上述的cmstp,是与WMI连接,配置文件安装或移除连接的设置文件,所以如果有恶意指令,将会触发其执行恶意程序。regsvr32则是控件命令工具,可注册或取消控件文件。

而显示的文档,是假冒合法的就业申请表,实际上,只是用于分散受害者的注意力,让受害者无法发现到在背景执行的more_egg任务,然后TerraLoader会将msxsl档安装至用户漫游的设置文件,并从公有云服务Amazon Web Services下载ActiveX控件(.ocx档),并加载TerraPreter该恶意程序。

之后,TerraPreter通过msxsl这个非法副本,作为信标传出信号至C2服务器,而这个信标代表more_egg已就绪,供Golden Chicken的客户登录,并开始执行他们的目标,利用这些受感染的计算机,用恶意软件继续去感染受害者,或成为立足点进入受害者的网络,以达到窃取资料的目的。

然而,为何攻击方式依然难以发现?因为恶意文件很难被发现,所以通过滥用合法签署的Windows处理程序,使杀毒软件或其他安全检查不会对文件进行侦测。