JPCERT/CC 的网络安全研究员 Shusei Tomonaga 就 LinkedIn 被网络犯罪分子(尤其是 Lazarus Group)用作初始感染载体一事发出警告。来自日本的最新报告显示,未经授权的访问事件与 LinkedIn 的欺诈性互动有关。这些攻击自 2019 年以来一直在持续,目标是各行各业,包括国防承包商和加密货币兑换商,强调了强大的组织防御的必要性。Tomonaga 的报告重点介绍了 Lazarus Group 精心策划的三个关键攻击行动:梦想工作行动在这次行动中,攻击者劫持了国防承包商人力资源代表的合法 LinkedIn 账户。他们打着招聘人员的幌子接近员工,在将对话转移到 Skype 或 WhatsApp 等其他平台后,说服目标下载恶意 Word 文档。这些文档执行后会在受害者的设备上安装恶意软件。“Tomonaga 解释说:”被利用进行攻击的 LinkedIn 账户可能不是攻击者的,而是被劫持的合法账户,因此有时很难发现任何可疑之处。危险密码行动该行动以加密货币交易所为目标,涉及发送包含恶意 LNK 文件的 ZIP 文件的 LinkedIn 消息,通常伪装成 Password.txt.lnk。随着时间的推移,这种恶意软件不断演变,现在不仅影响 Windows 系统,还影响 macOS 和 Linux 系统。其中一起事件涉及一个被劫持的 LinkedIn 账户与全球金融机构和开发人员联系。AppleJeus 行动该活动以加密货币用户为目标,将 LinkedIn 对话重定向到 Telegram,诱骗受害者下载伪装成加密货币交换工具的 MSI 文件。这些文件一旦被执行,就会安装恶意软件,入侵用户系统。攻击者发送的信息示例 | 资料来源:JPCERT/CCTomonaga 概述了基于 LinkedIn 的攻击的明显特征:要求将通信平台从 LinkedIn 切换到 Skype、WhatsApp 或 Telegram。关于下载和执行文件的持续跟踪。使用乍看合法的被劫持 LinkedIn 账户。通常以英语进行交流,偶尔也会针对本地目标发送日语信息。这些攻击强调了在企业设备上使用 LinkedIn 等社交媒体平台开展业务的危险性。报告警告说:“过去的事件案例表明,在主机上使用 LinkedIn 开展业务非常危险,除非有特殊原因,否则应避免使用。报告敦促企业限制在工作设备上使用 SNS,禁止使用未经授权的应用程序,并制定明确的政策来保护员工。”
