Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Vampire Bot Malware

Vampire Bot Malware

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), perisian hasad
Terjemahkan ke

Seorang pelakon ancaman berbahasa Vietnam yang dijejaki sebagai BatShadow sedang menjalankan kempen yang disasarkan yang memikat pencari kerja dan profesional pemasaran digital untuk memasang perisian hasad berasaskan Go yang tidak didokumenkan sebelum ini yang dipanggil oleh penyelidik Vampire Bot. Kumpulan itu menyamar sebagai perekrut dan mengedarkan perihalan kerja yang kelihatan sah dan PDF korporat yang, apabila berinteraksi dengannya, mencetuskan rantaian jangkitan berbilang peringkat dan menyampaikan keupayaan pengawasan jauh dan kecurian data.

Kejuruteraan Sosial Dan Penghantaran Gewang

Penyerang membuat mesej gaya perekrutan dan lampiran ZIP yang mengandungi fail PDF tipuan bersama pintasan berniat jahat (LNK) atau boleh laku yang menyamar sebagai PDF. Gewang dokumen secara khusus ditujukan kepada peranan pemasaran (satu gewang merujuk kepada pekerjaan pemasaran Marriott) untuk meningkatkan kredibiliti dengan mangsa yang dimaksudkan. Mangsa digalakkan untuk 'pratonton' atau memuat turun huraian kerja, yang memulakan urutan eksploitasi berbilang peringkat.

Kemajuan Rantaian Jangkitan

Pakej ZIP termasuk LNK berniat jahat yang menjalankan skrip PowerShell terbenam. Skrip itu menghubungi pelayan luaran untuk mengambil PDF yang menarik dan berkas ZIP berasingan yang mengandungi fail yang berkaitan dengan XtraViewer (perisian desktop jauh). Komponen XtraViewer dilaksanakan — berkemungkinan mewujudkan kegigihan atau akses jauh — dan rantaian berterusan sehingga boleh laku Go digunakan.

Menyalahguna Ubah Hala Tepi

Helah utama dalam kempen ialah halaman pendaratan yang menunjukkan ralat 'pelayar tidak disokong' palsu dan mengarahkan mangsa untuk menyalin URL dan membukanya dalam Microsoft Edge. Ubah hala skrip sering disekat oleh penyemak imbas moden, jadi penyerang bergantung pada meyakinkan pengguna untuk melakukan tindakan manual (salin/tampal ke Edge), yang kemudiannya dianggap sebagai dimulakan pengguna dan membenarkan aliran muat turun diteruskan. Setelah dibuka di Edge, halaman menunjukkan satu lagi ralat palsu yang mendakwa PDF telah dimampatkan dan 'dihantar ke peranti anda,' yang mencetuskan muat turun ZIP automatik.

Helah Penamaan Muatan Dan Umpan

ZIP yang dimuat turun secara automatik mengandungi perihalan kerja yang dikatakan dan boleh laku berniat jahat yang dinamakan untuk kelihatan seperti PDF (contohnya, 'Marriott_Marketing_Job_Description.pdf.exe'). Boleh laku menggunakan padding nama fail (ruang tambahan antara '.pdf' dan '.exe') jadi ia kelihatan seperti PDF dalam sesetengah paparan, meningkatkan kemungkinan mangsa akan menjalankannya.

Keupayaan Bot Vampire

Boleh laku yang digugurkan ialah Golang binari yang digelar Vampire Bot. Keupayaan yang diperhatikan termasuk:

  • menghitung dan memprofilkan hos yang dijangkiti,
  • mencuri set data yang luas (simpan bukti kelayakan, fail, dll.),
  • mengambil tangkapan skrin pada jadual yang boleh dikonfigurasikan,
    dan
  • mengekalkan komunikasi arahan-dan-kawalan dengan pelayan penyerang (dilaporkan sebagai api3.samsungcareers.work) untuk menerima arahan atau memuat turun muatan tambahan.

    • Atribusi Dan Infrastruktur

    Penganalisis memautkan aktiviti ini ke Vietnam berdasarkan penggunaan semula infrastruktur — contohnya, alamat IP (103.124.95.161) yang sebelum ini dikaitkan dengan pengendali berkaitan Vietnam — dan pada corak penyasaran. BatShadow telah menyasarkan profesional pemasaran digital sebelum ini dan bertindih dengan kumpulan Vietnam yang bermotivasi kewangan lain yang diketahui menggunakan pencuri yang merampas aset Perniagaan Facebook. Kumpulan itu nampaknya telah aktif sekurang-kurangnya setahun dan sebelum ini telah menggunakan domain seperti samsung-work.com untuk mengedarkan keluarga perisian hasad termasuk Ejen Tesla, Lumma Stealer, Venom RAT dan, pada Oktober 2024, kempen mengedarkan Quasar RAT melalui fail huraian kerja yang terperangkap serupa.

    Mengapa Serangan Berkesan?

    BatShadow menggabungkan gewang yang berkaitan dengan industri (iklan kerja pemasaran), helah nama fail, muatan berperingkat (untuk mengelakkan pengimbasan fail mudah) dan aliran yang memaksa tindakan penyemak imbas manual untuk memintas perlindungan ubah hala berskrip. Campuran kejuruteraan sosial dan langkah teknikal berbilang peringkat itu meningkatkan peluang kompromi yang berjaya dan akses jangka panjang.

    Kesimpulan

    Kempen BatShadow menggariskan keberkesanan kejuruteraan sosial yang disasarkan apabila dipasangkan dengan rantai teknikal yang berperingkat dan mengelak. Organisasi yang kerap merekrut atau mengendalikan trafik pemohon — dan profesional dalam pemasaran digital yang mengurus aset dalam talian — harus mengeraskan pengendalian mel/lampiran, menggunakan kawalan pelaksanaan yang ketat dan menganggap lampiran gaya perekrutan sebagai berisiko tinggi sehingga disahkan.

    Trending

    Paling banyak dilihat

    Memuatkan...