太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    Fake Jobs:你收到的offer可能含有恶意后门

    来源:本站整理 作者:佚名 时间:2019-02-25 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 自2018年中开始,Proofpoint追踪到一起滥用合法消息服务、发放伪造的工作offer、最终通过邮件来传播More_eggs后门的攻击活动——Fake Jobs。这些活动主要攻击位于美国的公司,涵盖零售业、娱乐业以及其他在线支付的工作行业。
    攻击活动尝试通过滥用领英的私信(直接消息)服务建立与潜在受害者的关系。然后通过邮件,攻击者假装是某公司的职员为受害者发送工作offer。在许多案例中,攻击者为了支持攻击活动还伪造了网站。而恶意payload就在这些网站上。在其他的案例中,攻击者使用一系列恶意附件来传播More_eggs。
    传播
    研究人员在调查过程中还发现这些攻击活动的变种,但是大多数都有一些相同的特征。首先攻击者使用伪造的、但看似合法的领英简介通过发送简短的邀请信与受害者取得联系,如图1所示,这看起来是一个非恶意的邮件,主题为Hi [Name], please add me to your professional network。

    图1: 攻击者滥用领英消息与受害人取得联系
    一周内,攻击者会发送一个邮件到受害者(目标)的工作地址来题型接收者之前在领英上联系过,如图2所示。攻击者会建议接收者点击邮件中的链接来查看提到的工作描述。在其他情况下,攻击者会用含有嵌入URL的PDF附件或恶意附件。

    图2: 攻击者发送含有恶意URL的邮件示例
    点击该URL会出现一个伪造的人力资源管理公司的加载页面,使用的是窃取的品牌来增强攻击活动的真实性,如图3所示。加载页模仿了Taurus Builder创建的含有恶意宏的word文件下载,如图4所示。如果接收者启动了宏,就会下载和执行More_eggs payload。在其他情况下,加载页会模拟下载JS加载器,但中间的恶意软件最终也会传播More_eggs。

    图3: 加载页模拟下载恶意word文档示例

    图4: 使用宏来下载More_eggs 恶意word文档示例
    如上所示,攻击活动在邮件中使用了恶意附件而不是URL。图5是使用PDF附件的例子,该pdf中含有一个到图3所示的伪造的加载页的链接。

    图5: 含有恶意URL的PDF附件示例
    变种
    因为攻击者频繁修改传播方法,导致攻击活动中也产生了一些变种。攻击者用来传播最后的payload More_eggs的技术包括:
    · 链接到模拟中间JS加载器或含有恶意宏或利用的word文档下载的加载页的URL
    · 重定向到相同加载页的URL
    · 含有链接到相同加载页的URL的pdf附件
    · 含有下载More_eggs的宏的秘密保护的word附件
    · 没有恶意附件或URL的完整无恶意的邮件(图6)

    图6: 用来与潜在受害者建立联系的非恶意邮件示例
    工具
    攻击者使用不同的工具来传播恶意软件,研究人员将这些工具总结如下:
    Taurus Builder
    研究人员使用该名来描述创建恶意文档的工具。研究人员认为Taurus builder是在地下犯罪论坛购买的。使用该软件创建的文档使用了CMSTP绕过。
    VenomKit
    研究人员使用VenomKit来描述构建器生成的文档,这与Taurus builder的出售者相同。基于该变种,可以利用CVE-2017-0199, CVE-2017-8570, CVE-2017-8759, CVE-2017-11882, CVE-2018-0802, CVE-2018-8174等漏洞。VenomKit也使用了和Taurus 相同的CMSTP绕过。
    More_eggs
    More_eggs是一款JS编写的恶意软件,用作下载器。除了下载其他的payload,More_eggs还有其他的扩展功能来描述受感染的机器。该恶意软件是Trend Micro最先发现的。
    与反洗钱活动交叉
    Brian Krebs分析了一起攻击在金融机构分析反洗钱官员的相关活动,研究人员认为这与本次攻击活动隶属同一攻击者。虽然攻击的目标和final payload是不同的,但这些攻击活动都有一些关键的共同点:
    · 使用fake jobs攻击活动中使用的PDF类似的PDF邮件附件;
    · 反洗钱活动和fake jobs攻击活动中使用的PDF都含有位于相同域名的URL。
    结论
    在Fake Jobs攻击活动中,攻击者使用领英消息、多向量等与潜在受害者取得联系,并使用个性化的诱饵、不同的攻击技术来传播More_eggs下载器,最终导致恶意软件的传播。
     

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载