概览
自2018年中开始,Proofpoint追踪到一起滥用合法消息服务、发放伪造的工作offer、最终通过邮件来传播More_eggs后门的攻击活动——Fake Jobs。这些活动主要攻击位于美国的公司,涵盖零售业、娱乐业以及其他在线支付的工作行业。
攻击活动尝试通过滥用领英的私信(直接消息)服务建立与潜在受害者的关系。然后通过邮件,攻击者假装是某公司的职员为受害者发送工作offer。在许多案例中,攻击者为了支持攻击活动还伪造了网站。而恶意payload就在这些网站上。在其他的案例中,攻击者使用一系列恶意附件来传播More_eggs。
传播
研究人员在调查过程中还发现这些攻击活动的变种,但是大多数都有一些相同的特征。首先攻击者使用伪造的、但看似合法的领英简介通过发送简短的邀请信与受害者取得联系,如图1所示,这看起来是一个非恶意的邮件,主题为Hi [Name], please add me to your professional network。
图1: 攻击者滥用领英消息与受害人取得联系
一周内,攻击者会发送一个邮件到受害者(目标)的工作地址来题型接收者之前在领英上联系过,如图2所示。攻击者会建议接收者点击邮件中的链接来查看提到的工作描述。在其他情况下,攻击者会用含有嵌入URL的PDF附件或恶意附件。
图2: 攻击者发送含有恶意URL的邮件示例
点击该URL会出现一个伪造的人力资源管理公司的加载页面,使用的是窃取的品牌来增强攻击活动的真实性,如图3所示。加载页模仿了Taurus Builder创建的含有恶意宏的word文件下载,如图4所示。如果接收者启动了宏,就会下载和执行More_eggs payload。在其他情况下,加载页会模拟下载JS加载器,但中间的恶意软件最终也会传播More_eggs。
图3: 加载页模拟下载恶意word文档示例
图4: 使用宏来下载More_eggs 恶意word文档示例
如上所示,攻击活动在邮件中使用了恶意附件而不是URL。图5是使用PDF附件的例子,该pdf中含有一个到图3所示的伪造的加载页的链接。
图5: 含有恶意URL的PDF附件示例
变种
因为攻击者频繁修改传播方法,导致攻击活动中也产生了一些变种。攻击者用来传播最后的payload More_eggs的技术包括:
· 链接到模拟中间JS加载器或含有恶意宏或利用的word文档下载的加载页的URL
· 重定向到相同加载页的URL
· 含有链接到相同加载页的URL的pdf附件
· 含有下载More_eggs的宏的秘密保护的word附件
· 没有恶意附件或URL的完整无恶意的邮件(图6)
图6: 用来与潜在受害者建立联系的非恶意邮件示例
工具
攻击者使用不同的工具来传播恶意软件,研究人员将这些工具总结如下:
Taurus Builder
研究人员使用该名来描述创建恶意文档的工具。研究人员认为Taurus builder是在地下犯罪论坛购买的。使用该软件创建的文档使用了CMSTP绕过。
VenomKit
研究人员使用VenomKit来描述构建器生成的文档,这与Taurus builder的出售者相同。基于该变种,可以利用CVE-2017-0199, CVE-2017-8570, CVE-2017-8759, CVE-2017-11882, CVE-2018-0802, CVE-2018-8174等漏洞。VenomKit也使用了和Taurus 相同的CMSTP绕过。
More_eggs
More_eggs是一款JS编写的恶意软件,用作下载器。除了下载其他的payload,More_eggs还有其他的扩展功能来描述受感染的机器。该恶意软件是Trend Micro最先发现的。
与反洗钱活动交叉
Brian Krebs分析了一起攻击在金融机构分析反洗钱官员的相关活动,研究人员认为这与本次攻击活动隶属同一攻击者。虽然攻击的目标和final payload是不同的,但这些攻击活动都有一些关键的共同点:
· 使用fake jobs攻击活动中使用的PDF类似的PDF邮件附件;
· 反洗钱活动和fake jobs攻击活动中使用的PDF都含有位于相同域名的URL。
结论
在Fake Jobs攻击活动中,攻击者使用领英消息、多向量等与潜在受害者取得联系,并使用个性化的诱饵、不同的攻击技术来传播More_eggs下载器,最终导致恶意软件的传播。