详细内容或原文请订阅后点击阅览
虚假工作申请包含恶意软件,可在窃取数据之前杀死端点检测
俄语攻击者引诱 HR 员工下载禁用防御的 ISO 文件 一名俄语网络犯罪分子利用虚假简历瞄准企业 HR 团队,这些团队会悄悄安装恶意软件,从而在从受感染的计算机窃取数据之前禁用安全工具。
来源:The Register _恶意软件一名讲俄语的网络犯罪分子利用虚假简历瞄准企业人力资源团队,悄悄安装恶意软件,这些恶意软件可以在从受感染的计算机窃取数据之前禁用安全工具。
网络和安全机构 Aryaka 的威胁报告中详细介绍了该操作,该操作利用了组织内最常见的工作流程之一:招聘。
研究人员表示,诱饵的形式是看起来完全正常的工作申请,位于著名的云存储服务上。对于浏览一堆候选人的招聘人员来说,这似乎只是另一份简历,但打开它会悄悄启动一系列后台操作,这些操作会破坏安全工具并为攻击者提供在机器上的立足点。
“人力资源专业人士收到的简历看起来完全正常,”Aryaka 安全工程和人工智能战略副总裁 Aditya K Sood 说道。 “候选人资料似乎相关。托管链接指向熟悉的云存储服务。没有任何可疑之处。快速下载,双击,安装 ISO 文件,然后入侵就开始了。”
恶意文档以 ISO 磁盘映像形式到达,Windows 可以像虚拟驱动器一样安装这种文件格式。打开后,存档包含一个快捷方式,可以在后台悄悄启动隐藏的命令。这些命令解压隐藏在图像文件中的恶意软件,这是一种旨在使安全工具更难发现有效负载的技巧。
从这里开始,攻击会深入到系统中。该恶意软件连接到攻击者控制的远程基础设施,并开始收集有关受感染机器的详细信息,然后再获取其他指令。大部分活动直接在内存中运行,留下的痕迹很少供防御者稍后发现。
该活动最令人担忧的功能是一个名为“BlackSanta”的组件,报告将其描述为 EDR 杀手 - 专门设计用于禁用旨在检测入侵的工具的软件。