詐騙升級客製化?駭客祭求職釣魚 鎖定電信、航太和國防領域
記者孫敬/編譯
近期,一波由國家級威脅團體發動的惡意攻擊正在暗中進行,駭客利用虛假的工作機會,來誘騙求職者並傳遞進階惡意程式。與過去常見的大規模釣魚攻擊不同的是,駭客們採用的是更為精準的「一對一」手法,他們會先透過專業社群網站鎖定目標,並發送個人化訊息,訊息中包含詳細的職位描述與精美的品牌圖案,讓求職者信以為真。
延伸閱讀:全新釣魚郵件手法?駭客假冒GitHub官方通知竊取開發者帳密
從個人到企業,求職信如何成為滲透內網的跳板
一旦受害者點擊連結,便會被導向一個精心偽造的職涯網站,頁面與知名航太、國防企業的官方網站幾乎一模一樣。當受害者輸入帳號密碼,網站會立即傳送一個惡意檔案壓縮包。由於檔案是在登入成功後才下載,這讓資安研究員難以透過一般爬蟲程式來發現這些假網站。駭客還會使用隱私服務註冊網域,並為每個受害者創建獨一無二的登入憑證,以確保行動安全並降低被偵測的風險。
這些攻擊的影響範圍不只於個人電腦,駭客最終的目標是藉由這些受害者,建立進入企業內部的永久通道。被鎖定的組織橫跨中東和歐洲,包括電信、航太和國防承包等關鍵領域。在一個被攔截的案例中,一名在歐洲航太公司應徵工程師職位的求職者,在不知情的情況下部署了一個基於SlugResin的惡意酬載,該酬載在執行後幾秒鐘內就建立了反向Shell連線。
駭客詐騙的雙重武器,MiniJunk與MiniBrowse
資安公司Check Point的研究人員發現,駭客在此次行動中使用了名為MiniJunk和MiniBrowse的新型惡意軟體,這兩種惡意程式都採用模組化架構,並透過多層混淆技術來躲避靜態與動態分析。
MiniJunk惡意軟體專注於長期潛伏,它會修改Windows API呼叫,強行從非預設路徑載入惡意動態連結函式庫(DLL)檔案,這種技術能繞過常見的防毒軟體啟發式掃描,而MiniBrowse則是在受害者的電腦上靜默地竊取網路瀏覽紀錄、瀏覽器歷史、以及儲存的登入憑證,並透過加密通道將這些資料傳送出去。
藉由這些入侵行為,駭客能夠持續存取公司網路,為其間諜活動、竊取智慧財產和後續的橫向移動。資安專家指出,這些惡意程式能將載入器隱藏在看似正常的執行檔中,從而實現隱匿和長期潛伏,且不會立即觸發端點安全工具的警報。
為了防範這類攻擊,企業和開發者應加強程式碼完整性政策,並持續監控不尋常的DLL載入行為,以及分析處理程序注入模式和驗證DLL搜尋路徑,以應對這波新興的網路威脅。
資料來源:Cyber Security News
