概览

自2018年中开始，Proofpoint追踪到一起滥用合法消息服务、发放伪造的工作offer、最终通过邮件来传播More_eggs后门的攻击活动——Fake Jobs。这些活动主要攻击位于美国的公司，涵盖零售业、娱乐业以及其他在线支付的工作行业。

攻击活动尝试通过滥用领英的私信（直接消息）服务建立与潜在受害者的关系。然后通过邮件，攻击者假装是某公司的职员为受害者发送工作offer。在许多案例中，攻击者为了支持攻击活动还伪造了网站。而恶意payload就在这些网站上。在其他的案例中，攻击者使用一系列恶意附件来传播More_eggs。

传播

研究人员在调查过程中还发现这些攻击活动的变种，但是大多数都有一些相同的特征。首先攻击者使用伪造的、但看似合法的领英简介通过发送简短的邀请信与受害者取得联系，如图1所示，这看起来是一个非恶意的邮件，主题为Hi [Name], please add me to your professional network。

图1: 攻击者滥用领英消息与受害人取得联系

一周内，攻击者会发送一个邮件到受害者（目标）的工作地址来题型接收者之前在领英上联系过，如图2所示。攻击者会建议接收者点击邮件中的链接来查看提到的工作描述。在其他情况下，攻击者会用含有嵌入URL的PDF附件或恶意附件。 

图2: 攻击者发送含有恶意URL的邮件示例

点击该URL会出现一个伪造的人力资源管理公司的加载页面，使用的是窃取的品牌来增强攻击活动的真实性，如图3所示。加载页模仿了Taurus Builder创建的含有恶意宏的word文件下载，如图4所示。如果接收者启动了宏，就会下载和执行More_eggs payload。在其他情况下，加载页会模拟下载JS加载器，但中间的恶意软件最终也会传播More_eggs。

图3: 加载页模拟下载恶意word文档示例

图4: 使用宏来下载More_eggs 恶意word文档示例

如上所示，攻击活动在邮件中使用了恶意附件而不是URL。图5是使用PDF附件的例子，该pdf中含有一个到图3所示的伪造的加载页的链接。

图5: 含有恶意URL的PDF附件示例

变种

因为攻击者频繁修改传播方法，导致攻击活动中也产生了一些变种。攻击者用来传播最后的payload More_eggs的技术包括：

· 链接到模拟中间JS加载器或含有恶意宏或利用的word文档下载的加载页的URL

· 重定向到相同加载页的URL

· 含有链接到相同加载页的URL的pdf附件

· 含有下载More_eggs的宏的秘密保护的word附件

· 没有恶意附件或URL的完整无恶意的邮件（图6）

图6: 用来与潜在受害者建立联系的非恶意邮件示例

工具

攻击者使用不同的工具来传播恶意软件，研究人员将这些工具总结如下：

Taurus Builder

研究人员使用该名来描述创建恶意文档的工具。研究人员认为Taurus builder是在地下犯罪论坛购买的。使用该软件创建的文档使用了CMSTP绕过。

VenomKit

研究人员使用VenomKit来描述构建器生成的文档，这与Taurus builder的出售者相同。基于该变种，可以利用CVE-2017-0199, CVE-2017-8570, CVE-2017-8759, CVE-2017-11882, CVE-2018-0802, CVE-2018-8174等漏洞。VenomKit也使用了和Taurus 相同的CMSTP绕过。

More_eggs

More_eggs是一款JS编写的恶意软件，用作下载器。除了下载其他的payload，More_eggs还有其他的扩展功能来描述受感染的机器。该恶意软件是Trend Micro最先发现的。

与反洗钱活动交叉

Brian Krebs分析了一起攻击在金融机构分析反洗钱官员的相关活动，研究人员认为这与本次攻击活动隶属同一攻击者。虽然攻击的目标和final payload是不同的，但这些攻击活动都有一些关键的共同点：

· 使用fake jobs攻击活动中使用的PDF类似的PDF邮件附件；

· 反洗钱活动和fake jobs攻击活动中使用的PDF都含有位于相同域名的URL。

结论

在Fake Jobs攻击活动中，攻击者使用领英消息、多向量等与潜在受害者取得联系，并使用个性化的诱饵、不同的攻击技术来传播More_eggs下载器，最终导致恶意软件的传播。