周三下午三点,一位就职于欧洲某航天企业的资深工程师在领英上收到一条消息。发信人是一位自称“Ebix公司人才招聘经理”的用户,个人资料详尽,头像专业,主页里贴满了真实的企业福利照片和员工推荐视频。消息开门见山地表示,他看到这位工程师在航天结构设计上的经验,认为非常匹配一个内部高级职位,并且直接开出了20万美元的年薪数字。工程师动了心,他并不知道,这条精心包装的招募邀请背后,是一支与国家背景关联的黑客组织——Nimbus Manticore——正在实施的间谍行动。
安全机构Nextron的分析师在最近一次应急响应中,将这条复杂的感染链完整还原了出来。他们在给Cyber Security News的报告中指出,整个过程中攻击者的核心贸易手段保持了惊人的一致性,尽管每次行动所用的具体工具和载荷都会变化,但底层手法几乎未变。分析师将这次活动的策划者明确归因于Nimbus Manticore——一个同样被跟踪为UNC1549和Smoke Sandstorm的组织。该组织过去长期将攻击焦点对准中东和欧洲的航空航天及国防领域的专业人士,而最新这一轮操作在技术复杂度上明显上了台阶,它将社会工程学与多阶段恶意软件投递链融为一炉,极难被察觉。
攻击的第一步完全依靠人设。假冒的招聘人员在领英上以一个诱惑力十足的猎头身份出没。Ebix是一家真实存在的保险与银行技术服务公司,Nimbus Manticore的这群人直接把它的牌子拿来用了,而且还给假门户配上了一个乍一看非常合理的域名:ebix.recruitment-flow.com。为了确保受害者上钩,他们抛出的薪酬条件被设定在了20万美元这个让人很难拒绝的数字——一份足以让人暂时忽略异常细节的价码。于是,从领英上接触到收件人,到跳转至该仿冒招聘门户,中间的路径平滑得就像一次正常的求职流程。
受害者一旦进入那个精心打磨过的钓饵网站,就会被要求登录。必须先输入凭证,后续的恶意内容才会被提供。这种“按需释放”的设计思路,让安全扫描器很难在第一时间接触到核心恶意载荷,因为静态网页上没有任何直接的病毒特征。登录之后,页面提示:为了确保招聘流程的额外安全,求职者需要下载一个双因素认证应用。这个所谓的双因素认证工具被包装成一个ZIP压缩文件,受害者解压后会看到一个名为setup.exe的安装包,其外壳完全就是微软Visual Studio的合法组件,文件签名也确确实实来自微软。
然而,攻击者在这个白名单程序上动了一个很小却极为致命的改动。他们篡改了setup.exe的配置文件,以此来欺骗.NET运行时环境的程序加载流程。按照正常的执行逻辑,.NET程序会在启动时加载特定的代码库,但攻击者通过修改配置键值,让运行时在查找程序集时,把一条恶意库文件——TOTPGuard.dll——当作合法组件加载进来。这种技术被称为AppDomain劫持,它带来的直接好处就是,初始进程看上去完全干净,不会触发常规的基于行为或签名的安全告警。对于企业端点防护来说,一个带有微软有效签名的程序启动,几乎就是绿灯。
受害者执行setup.exe后,界面上出现了一个足以乱真的Ebix登录窗口,醒目地要求输入一个“秘密密钥”。紧接着,屏幕上弹出一个能够正常工作的一次性密码生成器,每隔数十秒刷新一组动态口令。整个应用的行为从头到尾都像一个轻量级的企业安全工具,这种肉眼可见的“真实性”,让受害者很难往恶意软件的方向去联想。而就在这个伪装界面后的后台,恶意代码已经用一组硬编码的AES密钥解密了嵌在程序内部的载荷,并将其释放到用户应用数据文件夹(AppData)下的一个隐蔽路径中。从网站交互、工具安装,到载荷落地,每一个步骤都被设计成日常办公中的例行操作,这在很大程度上压缩了受害者的警惕窗口。
在持久化和指挥控制方面,恶意软件同样展现出了成熟的规避设计。载荷释放后,它会立即创建一个名为“BackupCheck”的计划任务。该任务被配置为在每次用户登录时自动运行,从而保证恶意程序在系统重启后也能被立刻重新激活,并始终维持与远程控制端的会话连接。主要载荷的内容被存储为一个main.dll文件,这个动态库就是后续各类恶意行为的核心。观察其整个攻击链可以看到,从领英消息到假门户,从登录页到双因素应用下载,再到AppDomain劫持、载荷解密和计划任务保活——每一环似乎都在重复使用组织此前行动中验证过的模式。
Nextron在报告中特别指出,Nimbus Manticore的贸
热门跟贴