Zscaler
資安業者Zscaler、WithSecure針對越南駭客發動的惡意軟體DuckTail攻擊提出警告,這些駭客主要透過職場社群網站LinkedIn進行社交工程攻擊,假借提供職缺引誘使用者上當,最終目的是竊取企業組織的臉書帳號,但也有抖音和Google的企業帳號遭挾持的情況。
研究人員先是在LinkedIn看到駭客假冒人力資源部門的員工,徵求行銷職缺,一旦有人上勾,駭客就會要求他們下載指定的檔案,並使用Windows電腦開啟,但實際上求職者打開的是偽裝成文件的可執行檔。由於從2022年迄今出現許多裁員的情況,使得攻擊者針對的目標範圍人數變得更加廣泛。
為了迴避偵測,駭客不只使用Telegram架設C2,亦濫用雲端服務Trello、Discord、Dropbox、iCloud、OneDrive、MediaFire代管惡意程式,而在存取受害組織的社群網站帳號時,也會透過代理伺服器服務存取,此外,攻擊者還會濫用加密通知(Encrypted notifications)來防止受害組織取回帳號。
打破語言隔閡,越南駭客利用AI生成式工具產生釣魚網站、信件
Zscaler指出,過程中駭客透過Google翻譯,以英文與求職者交談。在其中一起攻擊行動裡,他們假冒食品公司億滋國際(Mondelez International),並提供此公司的維基百科與臉書粉絲頁的URL,但要求求職者從iCloud下載惡意檔案。另一個攻擊管道,則是假借提供AI生成式工具ChatGPT、Google Bard,市場行銷工具Adplexity、ClickMinded的名義,來散布DuckTail。
究竟駭客如何製作相關的攻擊工具?研究人員指出,這些駭客透過ChatGPT、Google Bard等大型語言機器學習模型(LLM),來產生這些網頁、釣魚信。
一旦求職者不慎依照指示開啟駭客提供的「文件」,電腦就有可能被植入Ducktail。這款惡意程式由.NET打造而成,通常是含有Office文件或是PDF檔案圖示的可執行檔,但有些惡意酬載駭客打造成Excel的擴充套件(XLL),或是瀏覽器擴充套件的型式來發動攻擊。一般而言,駭客會透過內含徵才或是行銷廣告的誘餌文件檔案來散布Ducktail,此惡意軟體檔案很大,大小往往有70 MB左右,並透過Telegram連線至C2,部分檔案甚至含有越南憑證供應商的簽章。
在電腦被植入上述惡意程式之後,攻擊者就有可能將自己的電子郵件信箱加入受害組織的臉書管理成員、竄改臉書帳號的密碼或電子郵件信箱、盜取LinkedIn帳號進一步用於攻擊行動,或是將帳密資料流入越南地下市集,以35萬至800萬越南盾(相當於15至340美元)兜售。
引發模仿效應,另一組人馬打造更具破壞力的Ducktail變種
另一家資安業者WithSecure也揭露相關發現,他們發現這起攻擊行動背後可能有多個駭客組織參與,這些駭客透過多種程式語言打造作案工具,例如:以JavaScript打造惡意瀏覽器擴充套件、Node.js為基礎的可執行程式(包含Eletron應用程式),或是使用Python、.NET打造惡意程式的可執行檔。而且,駭客尋找攻擊目標的範圍相當廣,除了前述提到的臉書廣告、LinkedIn徵才訊息,這些駭客也鎖定自由工作者的接案網站Upwork、Freelancer下手,或是透過即時通訊軟體WhatsApp、垃圾郵件來引誘使用者上當。
再者,駭客引誘使用者上鉤的誘餌種類也相當多元,包含了前述提及的數位行銷與徵才,還有時下熱門的話題,如ChatGPT、Google Bard、Meta Threads,或是假借提供知名應用程式、網站廣告相關工具等。
研究人員指出,Ducktail約從一年前出沒,但相關攻擊在今年初開始出現顯著增加的現象。
而對於Ducktail感染受害電腦的過程,研究人員看到駭客納入了多階段的執行鏈,其中一種手法是透過壓縮檔散布LNK檔案,一旦觸發就有可能執行PowerShell指令碼檔案,然後從C2下載、執行Ducktail和誘餌文件檔案。而為了能夠成功竊取瀏覽器的資料,攻擊者自今年7月,利用名為RestartManager的程式來終止特定的處理程序,使得攻擊流程能順利進行。
到了今年3月,駭客亦從Ducktail發展出新變種Duckport,對受害組織帶來更大的危害。與Ducktail相同的是,Duckport同樣主要是鎖定操作Meta企業平臺的人士,兩者的戰術、技巧、程序(TTP)有所交集,但程式碼的寫作風格不同,背後的駭客成員沒有交集,用於C2的Telegram頻道、程式碼簽章也不同。
再者,Duckport會在受害電腦竊取更多資料,並在成功挾持企業的臉書帳號後,自動發布含有特定關鍵字的廣告,或是接收攻擊者的指令,自動產生及發布詐欺廣告,並關閉各式通知訊息讓受害組織不易察覺。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15