HackerNews 编译,转载请注明出处:
网络安全专家近日警告,一场高度针对性的网络钓鱼攻击行动已锁定阿联酋境内“少于五个”实体,目的是投放一种此前未被记录的Golang后门程序“Sosano”。
据网络安全公司Proofpoint披露,该恶意活动主要针对航空和卫星通信领域,并于2024年10月下旬被发现。Proofpoint将此新出现的攻击组织命名为“UNK_CraftyCamel”。
此次攻击的一大特点是,攻击者利用了印度电子公司INDIC Electronics的受感染电子邮件账户发送钓鱼邮件。该公司与所有攻击目标均保持着可信赖的商业关系,因此邮件内容根据不同受害者量身定制,以提高欺骗性。
Proofpoint在提供给《The Hacker News》的报告中表示:“UNK_CraftyCamel利用一家受感染的印度电子公司,向阿联酋少数几家机构发送包含恶意ZIP文件的钓鱼邮件。这些ZIP文件包含多种混合格式(polyglot files),最终安装了名为Sosano的定制Go语言后门。”
攻击者在邮件中嵌入了指向伪装成印度公司官方网站的恶意链接(“indicelectronics[.]net”),该网站托管着一个ZIP压缩包,内含一份XLS文件和两份PDF文件。
实际上,该XLS文件是一个伪装成Excel文档的Windows快捷方式(LNK),而两份PDF文件则是特殊的多格式文件。其中一份PDF文件附带了HTML应用程序(HTA)文件,另一份则嵌入了一个ZIP压缩包。
这意味着,这两份PDF文件在不同程序(如文件资源管理器、命令行工具和浏览器)中解析时,可能会呈现出不同的格式,从而掩盖其恶意性质。
Proofpoint的分析显示,攻击者利用LNK文件启动cmd.exe,随后借助mshta.exe执行PDF/HTA混合文件,触发HTA脚本。该脚本进一步解压第二个PDF文件中隐藏的ZIP压缩包,并执行其中的恶意代码。
在解压的文件中,有一个URL快捷方式文件(.url),用于加载一个二进制文件。该文件随后搜索一个特定的图像文件,并使用字符串“234567890abcdef”进行异或(XOR)解码,从而释放并运行名为Sosano的DLL后门程序。
Sosano后门采用Golang编写,功能相对有限,主要用于连接远程指挥控制(C2)服务器,并执行指令,包括:
- sosano:获取当前目录或更改工作目录yangom:枚举当前目录内容monday:下载并运行下一阶段的未知载荷raian:删除或移除目录lunna:执行Shell命令
Proofpoint指出,UNK_CraftyCamel的攻击手法与任何已知的黑客组织或威胁团体均无明显关联。
Proofpoint高级威胁研究员Joshua Miller对《The Hacker News》表示:“我们的分析表明,这次行动很可能由一个与伊朗有联系的攻击团体实施,可能与伊朗伊斯兰革命卫队(IRGC)相关。”
“被攻击的行业对经济稳定和国家安全至关重要,因此成为地缘政治竞争中的重要情报目标。这场攻击规模虽小但极具针对性,攻击者不仅利用了多种混淆技术,还通过可信的第三方账户进行渗透,目标直指阿联酋的航空、卫星通信及关键交通基础设施。这表明,与国家相关的黑客组织正不断升级手法,以规避检测并达成情报收集任务。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
