|
|
|
|
公众号矩阵

捞鱼战术 | 当黑客向你发来一封offer

通过向特定人群发送虚假岗位信息乃至offer,从而秘密植入后门。这一“战术”已经被多个黑客组织运用。

作者:kirazhou来源:FreeBuf|2021-04-07 18:32

通过向特定人群发送虚假岗位信息乃至offer,从而秘密植入后门。这一“战术”已经被多个黑客组织运用。

如今,Golden Chickens(金鸡网络犯罪团伙)甚至将这一“战术”服务化。通过收集受害者的LinkedIn个人资料执行鱼叉式网络钓鱼活动,并且将被more_eggs后门感染的系统访问权限出售给FIN6,Evilnum和Cobalt Group等网络犯罪团伙。

利用LinkedIn信息定向“捞鱼”

在最近发现的一次攻击中,黑客仿冒了一封带有虚假工作机会的网络钓鱼电子邮件,发送给了一名从事医疗技术工作的专业人员。邮件中的工作机会与受害者在LinkedIn个人资料页面上列出的职位相同。

受害者一旦打开邮件中包含的以职位命名的zip文件,就会启动VenomLNK恶意组件,成为more_eggs感染的第一步。随后,VenomLNK将使用PowerShell的子系统Windows Management Instrumentation(WMI)部署第二阶段:TerraLoader恶意软件加载程序。

TerraLoader可以劫持两个合法的Windows进程cmstp和regsvr32,从而加载名为TerraPreter的最终有效负载。该负载为了避开网络过滤器,会在Amazon AWS托管的服务器下载,并作为ActiveX控件进行部署(ActiveX是一个允许通过Internet Explorer执行代码的框架,在Windows上本机支持)。

此外,TerraLoader还可以拖放并打开一个Microsoft Word文档,让受害者认为是合法的就业申请文档,不会产生怀疑。

Golden Chickens的“客户”

Golden Chickens的客户包括FIN6,Evilnum和Cobalt Group。这3个网络犯罪组织的共性是都以金融行业为目标。

FIN6至少成立于2014年,以实体销售点系统为目标,最近还通过在线支付系统窃取卡数据并将其出售在地下市场。据悉FIN6在2019年针对电子商务公司的攻击中就曾使用了more_eggs后门。Evilnum则自2018年以来一直以金融技术公司和股票交易平台为攻击目标,而Cobalt Group专门研究如何从银行和其他金融组织窃取钱财,该组织以强大的侦察能力和耐心而著称,可以在受害者网络中潜伏数月。

对于受more_eggs后门感染的系统,Golden Chickens的客户可以如入无人之境一样,用任何类型的恶意软件再次感染受害者系统,比如通过勒索软件、凭据窃取器、银行恶意软件攻击,或者将后门作为立足点进而窃取数据。

随着Golden Chickens的后门服务出售,再考虑到使用more_eggs的黑客组织类型及其复杂程度,意味着受害者将面临未知且强大的黑客组织的威胁。

参考来源:csoonline

【编辑推荐】

  1. 黑客论坛泄露5亿Facebook用户数据,可免费访问
  2. 物联网安全:保护您的家免受网络攻击
  3. 哪种智慧城市技术更容易遭受网络攻击?
  4. 特斯拉安全吗?自动驾驶汽车亟需“网络安全带”
  5. 网络安全攻防:DNS欺骗
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

7人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

36人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

230人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微