Vampire Bot Malware
一个被追踪为 BatShadow 的越南语威胁行为者正在开展一项有针对性的攻击活动,诱骗求职者和数字营销专业人士安装一种此前未记录的基于 Go 的恶意软件,研究人员将其称为“吸血鬼机器人 (Vampire Bot)”。该组织冒充招聘人员,分发看似合法的职位描述和公司 PDF 文件,一旦与之互动,就会触发多阶段感染链,并具备远程监控和数据窃取的能力。
目录
社会工程学和诱饵投放
攻击者精心制作招聘邮件和 ZIP 附件,其中包含诱饵 PDF 文件以及伪装成 PDF 的恶意快捷方式 (LNK) 或可执行文件。这些文档诱饵专门针对营销职位(其中一个诱饵提到了万豪酒店的营销职位),以提高目标受害者的可信度。受害者会被鼓励“预览”或下载职位描述,从而启动多阶段攻击序列。
感染链进展
ZIP 包中包含一个恶意 LNK 文件,用于运行嵌入的 PowerShell 脚本。该脚本会联系外部服务器,获取诱饵 PDF 文件和一个单独的 ZIP 包,其中包含与 XtraViewer(远程桌面软件)相关的文件。XtraViewer 组件会被执行(可能是为了建立持久性或远程访问),攻击链会持续执行,直到 Go 可执行文件被部署。
滥用 Edge 重定向
此次攻击活动的一个关键伎俩是创建一个登录页面,该页面会显示一个虚假的“浏览器不受支持”错误,并指示受害者复制 URL 并在 Microsoft Edge 中打开。脚本重定向通常会被现代浏览器拦截,因此攻击者依靠诱使用户执行手动操作(复制/粘贴到 Edge 中),然后将该操作视为用户发起的操作,并允许下载流程继续进行。在 Edge 中打开后,页面会显示另一个虚假错误,声称 PDF 已压缩并“已发送至您的设备”,从而触发自动 ZIP 下载。
有效载荷和诱饵的命名技巧
自动下载的 ZIP 文件包含所谓的职位描述以及一个看起来像 PDF 文件的恶意可执行文件(例如,“Marriott_Marketing_Job_Description.pdf.exe”)。该可执行文件使用了文件名填充(“.pdf”和“.exe”之间额外的空格),因此在某些视图中看起来像 PDF 文件,从而增加了受害者运行它的可能性。
吸血鬼机器人的能力
投放的可执行文件是一个名为“Vampire Bot”的 Golang 二进制文件。其功能包括:
- 枚举和分析受感染的主机,
- 窃取大量数据(凭证存储、文件等),
- 根据可配置的时间表截取屏幕截图,
和
- 与攻击者服务器(报告为 api3.samsungcareers.work)保持命令和控制通信,以接收命令或下载额外的有效载荷。
归因和基础设施
分析人士根据基础设施复用(例如,一个 IP 地址 (103.124.95.161) 曾与越南相关运营商关联)以及攻击模式,将此活动与越南联系起来。BatShadow 此前曾以数字营销专业人士为目标,并且与其他以经济利益为目的的越南组织存在重叠,这些组织已知会部署窃取 Facebook 商业资产的窃取程序。该组织似乎已活跃至少一年,此前曾使用 samsung-work.com 等域名传播包括 Agent Tesla、Lumma Stealer、Venom RAT 在内的恶意软件家族,并在 2024 年 10 月通过类似的陷阱式职位描述文件传播 Quasar RAT。
这次攻击为何有效?
BatShadow 结合了行业相关的诱饵(营销招聘广告)、文件名技巧、阶段性有效载荷(用于规避简单的文件扫描)以及强制执行手动浏览器操作以绕过脚本重定向保护的流程。这种社会工程学和多阶段技术步骤的结合,增加了成功入侵和长期访问的可能性。
结论
BatShadow 的攻击活动凸显了有针对性的社会工程学与分阶段规避的技术链相结合的有效性。频繁招聘或处理求职者流量的组织,以及管理在线资产的数字营销专业人士,应该加强邮件/附件的处理,实施严格的执行控制,并将招聘类附件视为高风险,直至经过验证。
