巧妙模仿蜗牛作为人力资源代表来吸引员工并窃取登录凭证
一个名为“Subtle Snail”的复杂伊朗间谍组织通过精心策划的以招募为主题的社会工程活动,对欧洲电信、航空航天和国防组织构成了重大威胁。该组织也被认定为 UNC1549,与更广泛的 Unyielding Wasp 网络有关联,自 2022 年 6 月以来,该组织通过伪装成合法公司的人力资源代表来吸引毫无戒心的员工,成功入侵了 11 个组织的 34 台不同设备。攻击者通过精心制作的 LinkedIn 个人资料进行操作,将自己伪装成知名行业实体的招聘经理和人力资源人员。他们的方法包括广泛的侦察以识别组织内的高价值目标,特别关注具有关键系统特权访问权限的研究人员、开发人员和 IT 管理员。威胁行为者制作令人信服的虚假招聘广告,并按照 telespazio-careers.com 和 safrangroup-careers.com 等模式建立域名,以冒充合法公司并提高其招聘计划的可信度。Catalyst 分析师指出,Subtle Snail 部署了 MINIBIKE 后门的自定义变体,该后门通过 Azure 云服务代理与命令和控制基础设施进行通信,以逃避检测。在最初发现时,由于复杂的混淆技术和滥用荷兰公司 Insight Digital BV 的代码签名证书,恶意样本在大多数防病毒供应商中的检测率都非常低,使得恶意软件看起来像是受信任的软该组织的运营方法不仅限于简单的恶意软件部署,还包含针对受害者的恶意软件开发和全面的数据泄露功能,可以系统地收集专有技术、客户数据库和关键网络配置。他们持续的活动表明,国家支持的威胁行为者针对关键基础设施的攻击日益复杂,特别强调电信实体,同时保持对航空航天和国防部门的兴趣以进行战略间谍活动。DLL 侧载作为主要攻击向量Subtle Snail 感染机制的核心严重依赖于 DLL 侧加载技术,该技术利用 Windows 的动态链接库搜索顺序来实现代码执行,同时保持安全控制无法检测到。当受害者执行名为 Application.zip、TimeTable.zip 或 TimeScheduler.zip 的 ZIP 档案中包含的看似合法的 setup.exe 文件时,威胁行为者会利用与合法可执行文件一起策略性放置的恶意 MINIBIKE DLL 文件来执行 DLL 侧载。该恶意软件利用 Windows 的 DLL 搜索顺序机制将恶意库与合法应用程序一起加载,从而有效绕过受信任进程的安全控制。该组织系统地使用常见的系统库名称(例如 iumbase.dll、dwrite.dll 或 umpdc.dll)来命名其恶意 DLL,以伪装成合法的 Windows 组件。每个 DLL 都是针对单个受害者和操作专门制作的,合法的DLL文件被修改以促进侧载攻击的无缝执行。技术实现涉及用直接字符串变量替换导出部分中的函数名称,允许攻击者通过操纵 DLL 的导出表来绕过典型的检测机制,同时保持合法文件的外观。所有恶意 DLL 均使用适用于 64 位机器架构的 Microsoft Visual C/C++ 开发,并在使用自定义字符串解密技术解密其相应的模块名称和进程名称后,在运行时动态解析 WinAPI 函数。MINIBIKE 后门收集唯一的系统标识符,并以 {UNIQUE_ID}###{DEVICE_NAME}###{NETWORK_INTERFACE_IPs} 格式将其传输到 C2 服务器,从而启动攻击链。连接成功后,威胁行为者开始部署针对受害者的 DLL,用于各种目的,包括键盘记录、凭证窃取和域名检查,每个 DLL 都通过相同的 DLL 侧载技术执行,以在整个攻击过程中保持操作的隐蔽性和持久性。支持墨客安全网!资源最多更新最快!谢谢楼主!
页:
[1]