近几个月来,一场精心策划的行动浮出水面,与国家有关联的威胁行为者正利用虚假工作机会诱捕毫无防备的求职者,并投放高级恶意软件。
这些攻击者精心制作具有欺骗性的钓鱼邮件,引导受害者访问仿冒的职业门户网站,这些网站冒充了领先的航空航天和国防公司。
这种诱惑往往始于在职业社交网络上进行的个性化接触,通常会附带详细的职位描述和带有品牌标识的图片,然后诱导求职者在伪造的登录页面上输入个人信息。
一旦通过身份验证,该网站就会发送一个包含定制植入程序的恶意压缩包,这些程序会在受害者的机器上建立隐蔽的立足点。
Check Point的分析师指出,这一行动的演变标志着从大众市场钓鱼攻击向严格控制的、针对特定目标的攻击活动发生了显著转变。
通过在隐私服务背后注册域名,并为每个受害者提供独特的凭证,攻击者得以维持操作安全并最大限度减少被检测的可能性。
恶意有效载荷仅在成功认证后才会被交付,这确保了安全研究人员无法通过常规爬取轻易发现这些网站。
研究人员将这种恶意软件的新兴变种命名为MiniJunk和MiniBrowse,它们采用模块化架构,并带有混淆层,能够阻碍静态和动态分析。
MiniJunk专注于长期持久性</b0:它修改Windows API调用,从替代路径加载恶意DLL,这是一种绕过常见 antivirus 启发式检测的技术。
与此同时,MiniBrowse会悄悄窃取网络会话Cookie、浏览器历史记录和保存的凭据,然后通过加密渠道泄露这些数据。
这些活动的影响不止于个人信息泄露。被针对的组织遍布中东和欧洲,包括电信、航空航天和国防合同等关键行业。
在一次截获的尝试中,一名申请欧洲一家航空航天公司工程职位的候选人无意中部署了一个源自SlugResin的有效载荷,该载荷在执行后几秒钟内就建立了反向shell连接。
通过这些感染,威胁行为者获得了对企业网络的持久访问权限,为间谍活动、知识产权盗窃以及后续的横向移动开辟了途径。
感染机制与DLL劫持
MiniJunk变体的核心在于一种改进的DLL劫持策略,该策略会颠覆合法的Windows进程。
初始执行后,加载程序通过修补PEB(进程环境块)来修改进程的搜索路径,将DLL解析重定向到攻击者控制的目录。
以下伪代码展示了关键步骤:-
// Patch PEB to redirect DLL search
PPEB peb = NtCurrentTeb()->ProcessEnvironmentBlock;
UNICODE_STRING evilPath = RTL_CONSTANT_STRING(L"C:\\Users\\Public\\WinSys\\");
peb->ProcessParameters->DllDirectory = evilPath;
// Load target process with hijacked DLLs
STARTUPINFO si = {0};
PROCESS_INFORMATION pi;
CreateProcessW(L"C:\\Windows\\System32\\svchost.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
ResumeThread(pi.hThread);这种技术确保在svchost.exe或类似的可信二进制文件初始化时,它们会加载恶意库而非合法的系统DLL。
通过将加载器嵌入到一个看似无害的可执行文件中,攻击者实现了隐蔽性和持久性,而不会立即触发终端安全工具的警报。
组织应执行严格的代码完整性政策,并监控异常的DLL加载行为,以检测和缓解此类攻击。
对进程注入模式的持续分析以及对DLL搜索路径的验证,将是抵御这一新兴威胁的关键防御措施。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
