通過(guò)向特定人群發(fā)送虛假崗位信息乃至offer，從而秘密植入后門。這一“戰(zhàn)術(shù)”已經(jīng)被多個(gè)黑客組織運(yùn)用。

如今，Golden Chickens(金雞網(wǎng)絡(luò)犯罪團(tuán)伙)甚至將這一“戰(zhàn)術(shù)”服務(wù)化。通過(guò)收集受害者的LinkedIn個(gè)人資料執(zhí)行魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，并且將被more_eggs后門感染的系統(tǒng)訪問(wèn)權(quán)限出售給FIN6，Evilnum和Cobalt Group等網(wǎng)絡(luò)犯罪團(tuán)伙。

[[391731]]

利用LinkedIn信息定向“撈魚”

在最近發(fā)現(xiàn)的一次攻擊中，黑客仿冒了一封帶有虛假工作機(jī)會(huì)的網(wǎng)絡(luò)釣魚電子郵件，發(fā)送給了一名從事醫(yī)療技術(shù)工作的專業(yè)人員。郵件中的工作機(jī)會(huì)與受害者在LinkedIn個(gè)人資料頁(yè)面上列出的職位相同。

受害者一旦打開郵件中包含的以職位命名的zip文件，就會(huì)啟動(dòng)VenomLNK惡意組件，成為more_eggs感染的第一步。隨后，VenomLNK將使用PowerShell的子系統(tǒng)Windows Management Instrumentation(WMI)部署第二階段：TerraLoader惡意軟件加載程序。

TerraLoader可以劫持兩個(gè)合法的Windows進(jìn)程cmstp和regsvr32，從而加載名為TerraPreter的最終有效負(fù)載。該負(fù)載為了避開網(wǎng)絡(luò)過(guò)濾器，會(huì)在Amazon AWS托管的服務(wù)器下載，并作為ActiveX控件進(jìn)行部署(ActiveX是一個(gè)允許通過(guò)Internet Explorer執(zhí)行代碼的框架，在Windows上本機(jī)支持)。

此外，TerraLoader還可以拖放并打開一個(gè)Microsoft Word文檔，讓受害者認(rèn)為是合法的就業(yè)申請(qǐng)文檔，不會(huì)產(chǎn)生懷疑。

Golden Chickens的“客戶”

Golden Chickens的客戶包括FIN6，Evilnum和Cobalt Group。這3個(gè)網(wǎng)絡(luò)犯罪組織的共性是都以金融行業(yè)為目標(biāo)。

FIN6至少成立于2014年，以實(shí)體銷售點(diǎn)系統(tǒng)為目標(biāo)，最近還通過(guò)在線支付系統(tǒng)竊取卡數(shù)據(jù)并將其出售在地下市場(chǎng)。據(jù)悉FIN6在2019年針對(duì)電子商務(wù)公司的攻擊中就曾使用了more_eggs后門。Evilnum則自2018年以來(lái)一直以金融技術(shù)公司和股票交易平臺(tái)為攻擊目標(biāo)，而Cobalt Group專門研究如何從銀行和其他金融組織竊取錢財(cái)，該組織以強(qiáng)大的偵察能力和耐心而著稱，可以在受害者網(wǎng)絡(luò)中潛伏數(shù)月。

對(duì)于受more_eggs后門感染的系統(tǒng)，Golden Chickens的客戶可以如入無(wú)人之境一樣，用任何類型的惡意軟件再次感染受害者系統(tǒng)，比如通過(guò)勒索軟件、憑據(jù)竊取器、銀行惡意軟件攻擊，或者將后門作為立足點(diǎn)進(jìn)而竊取數(shù)據(jù)。

隨著Golden Chickens的后門服務(wù)出售，再考慮到使用more_eggs的黑客組織類型及其復(fù)雜程度，意味著受害者將面臨未知且強(qiáng)大的黑客組織的威脅。

參考來(lái)源：csoonline