MixShell恶意软件

通过Mezo在恶意软件

翻译为：

网络安全研究人员发现了一项代号为 ZipLine 的复杂社会工程攻击活动，该活动利用了一种名为 MixShell 的隐秘内存恶意软件。该活动主要针对供应链关键型制造企业，表明攻击者利用可信业务工作流而非传统网络钓鱼方法进行攻击的趋势日益增长。

与传统的通过未经请求的电子邮件发送的网络钓鱼攻击不同，ZipLine 的运营者通过公司的“联系我们”表单开始入侵。这种巧妙的方法从一开始就建立了信誉。接下来是长达数周的专业且令人信服的沟通，通常会以伪造的保密协议作为补充，然后攻击者才会发送一个包含 MixShell 的恶意 ZIP 压缩包。

这种耐心建立信任的策略，让 ZipLine 有别于那些以恐吓为目的的攻击活动。在某些情况下，攻击者甚至会将攻击策略围绕人工智能驱动的计划展开，将自己伪装成能够帮助降低成本、提高效率的合作伙伴。

ZipLine 的目标范围广泛，但主要集中在美国供应链关键行业的组织。其他受影响的地区包括新加坡、日本和瑞士。

重点针对的行业包括：

攻击者还会使用模仿美国注册有限责任公司的域名，有时还会盗用合法但不活跃企业的域名。这些克隆网站表明，这是一个高度结构化、规模庞大的攻击行动。

ZipLine 的成功之处在于其多阶段感染流程，旨在实现隐蔽性和持久性。这些被武器化的 ZIP 压缩包通常托管在合法的云服务 Herokuapp.com 上，这有助于恶意软件融入正常的网络活动。

感染过程包括：

加载程序部署了 MixShell，这是一种完全在内存中执行的自定义植入程序。

MixShell 通过 DNS 隧道（带有 HTTP 回退）进行通信，从而实现远程命令执行、文件操作、反向代理、持久性和网络渗透。

一些版本包括反调试和沙盒逃避技术，以及保持持久性的计划任务。

值得注意的是，LNK文件还会启动一个诱饵文档，进一步掩盖恶意行为。

研究人员发现，ZipLine 基础设施中使用的数字证书与名为 UNK_GreenSec 的威胁组织发起的 TransferLoader 攻击相关的证书存在重叠。虽然归属尚不确定，但这种联系暗示该组织组织严密、资源丰富，且曾参与过大规模攻击活动。

MixShell 感染一旦成功，后果可能非常严重，从知识产权盗窃、商业电子邮件泄露，到勒索软件事件和供应链中断，不一而足。鉴于目标行业的性质，其影响可能不仅局限于单个公司，甚至波及整个生产生态系统。

ZipLine 活动强调了网络犯罪分子如何创新，利用人类心理、可信沟通渠道和人工智能相关主题来获取信任。

为了应对此类威胁，组织必须：

建立警惕的文化至关重要。信任一旦被武器化，就会成为攻击者最有效的武器之一。

搜索