Proofpoint报告指出,威胁行为者已将该手法用于针对阿联酋关键基础设施企业的攻击,并警告各地CISO需警惕其扩散。
图片来源:enzozo / Shutterstock某威胁行为者正在使用polyglot文件隐藏新型后门程序的安装,这是针对阿联酋企业,特别是航空、卫星通信和交通行业的鱼叉式钓鱼攻击的一部分。Proofpoint的研究人员在PwC威胁情报团队的协助下发现了这一后门程序,并将其命名为Sosano。该攻击目前可能仅限于阿联酋,但各地的CISO都应提高警惕,因为这种手法和后门程序可能扩散到其他地区。- 攻击者首先入侵了一家印度电子公司的邮箱,然后利用该邮箱发送含有恶意链接的邮件;
- 链接指向一个ZIP文件,其中包含用于混淆负载内容的多语文件。
Proofpoint表示,威胁行为者使用polyglot文件的行为“相对不常见于以间谍活动为动机的攻击者”。polyglot文件是通过精心构建数据,使不同解析器对同一文件产生不同解释,通常利用特定格式的缺陷或重叠头文件来实现。恶意软件活动中使用多语文件的一个例子是Emmenhtal加载器,Proofpoint称其经常出现在网络犯罪攻击链中,用于传递信息窃取程序或远程访问木马(RAT)。Beauceron Security公司的首席执行官David Shipley表示:“这份报告显示,攻击者在目标选择和社交工程引诱方面具有高度复杂性,同时在使用多语文件方面也表现出同等的技术水准。”他强调:“这说明攻击者与防御者之间的博弈仅受限于攻击者的创造力和时间投入,同时也突显了技术控制和积极安全文化的持久重要性,这种文化能激励人们发现、阻止并报告威胁。”Shipley指出,威胁行为者不广泛使用多语文件的一个原因是“简单的方法通常就足够有效,无需对大多数目标采用如此复杂的手段。”Proofpoint尚未确认此次攻击的威胁行为者身份,但指出:“接收者在收到邮件后,高针对性极强的引诱手段,以及多次尝试混淆恶意软件的行为,表明攻击者目标明确。”2024年10月下旬,一名或多名攻击者入侵了印度电子公司INDIC Electronics的邮箱账户。利用这一访问权限,该团伙向Proofpoint在阿联酋的五家关键基础设施企业客户发送了邮件。
Proofpoint在回应查询时表示,邮件“利用了被入侵发件人与目标之间的信任关系,采用了企业对企业销售的引诱手段”,包括订单表格和公司背景介绍。邮件中还包含以[.]com结尾的URL,这些链接看似指向合法的INDIC Electronics主页,但实际上指向一个名为“indicelectronics[.]net”的虚假域名,其中包含一个ZIP压缩包,内有一个XLS文件(Excel电子表格)和两个PDF文件。即使是对邮件持怀疑态度的收件人,也可能被迷惑,甚至某些防御软件也会上当。然而,所谓的XLS文件实际上是一个使用双重扩展名的LNK文件(filename[.]xls[.]lnk),而两个PDF文件均为多语文件。其中一个附加了HTA(HTML应用程序),而另一个则附加了ZIP压缩包。报告称,LNK文件启动cmd[.]exe,然后使用mshta[.]exe执行PDF/HTA polyglot文件。mshta[.]exe进程会扫描文件,跳过PDF部分,直到找到HTA头文件,并从此处开始执行内容。HTA脚本充当协调器,包含指令让cmd[.]exe从第二个PDF文件中提取可执行文件和URL文件。最终,一个可执行文件会寻找隐藏在ZIP文件中的Sosano后门。Sosano后门是一个用Golang编写的DLL文件。报告提到,尽管它是一个大型可执行文件(12MB),但其恶意代码量较少,功能有限。执行恶意软件时,部分字符串会通过反混淆功能加载到内存中。
程序首先会随机休眠一段时间,使用当前系统时间作为伪随机数生成器的种子。这种休眠机制有助于恶意软件在自动化分析沙箱和终端防御中逃避检测。休眠后,恶意软件会尝试连接其命令与控制服务器以获取进一步指令。报告指出,恶意软件感染链中存在多种检测机会,例如:
CISO和CIO可以从此次攻击中吸取的教训之一是,必须保护企业域名不被伪造。
还没有评论,来说两句吧...