根据向特殊人群推送虚报职位信息乃至offer,进而秘密植入后门。这一“战略”早已被好几个黑客联盟应用。
现如今,Golden Chickens(呈祥互联网团伙犯罪)乃至将这一“战略”服务创新。根据搜集受害人的LinkedIn个人信息实行鱼叉式钓鱼攻击主题活动,而且将被more_eggs后门感柒的系统软件访问限制售卖给FIN6,Evilnum和Cobalt Group等互联网团伙犯罪。
运用LinkedIn信息定项“抓鱼”
在近期发觉的一次进攻中,网络黑客假冒了一封含有虚报工作中可能的钓鱼攻击电子邮箱,发给了一名从业医疗技术工作中的专业技术人员。电子邮件中的工作中机遇与受害人在LinkedIn个人信息网页页面上列举的岗位同样。
受害人一旦开启邮箱中包括的以岗位取名的zip文件,便会运行VenomLNK故意部件,变成more_eggs感柒的第一步。接着,VenomLNK将应用PowerShell的分系统Windows Management Instrumentation(WMI)布署第二阶段:TerraLoader恶意程序载入程序流程。
TerraLoader可以挟持2个合理合法的Windows过程cmstp和regsvr32,进而载入名叫TerraPreter的最后合理负荷。该负载为了更好地绕开互联网过滤装置,会在Amazon AWS代管的服务器下载,并做为ActiveX控制开展布署(ActiveX是一个容许根据Internet Explorer实行编码的架构,在Windows上远程服务器适用)。
除此之外,TerraLoader还能够拖放并开启一个Microsoft Word文本文档,让受害人觉得是正规的学生就业申请办理文本文档,不容易造成猜疑。
Golden Chickens的“顾客”
Golden Chickens的客户包含FIN6,Evilnum和Cobalt Group。这3个网络诈骗机构的关联性是都以金融行业为总体目标。
FIN6最少创立于2014年,以实体线零售点系统软件为总体目标,近期还根据线上支付系统软件盗取卡数据信息并将其售卖在地底销售市场。据了解FIN6在2019年对于知识产权公司的伤害中就曾采用了more_eggs后门。Evilnum则自2018年至今一直以金融业技术性企业和股票买卖交易服务平台为进攻总体目标,而Cobalt Group专业科学研究怎样从金融机构和别的金融业机构盗取金钱,该机构以强悍的侦查工作能力和细心而而出名,可以在受害人互联网中埋伏数月。
针对受more_eggs后门感柒的系统软件,Golden Chickens的顾客可以如入无人之境一样,用一切种类的恶意程序再度感柒受害人系统软件,例如根据勒索病毒、凭证盗取器、金融机构恶意程序进攻,或是将后门做为出发点从而盗取数据信息。
伴随着Golden Chickens的后门服务项目售卖,再充分考虑应用more_eggs的黑客联盟种类以及复杂性,代表着受害人将遭遇不明且强悍的黑客联盟的危害。
参照由来:csoonline