MixShell惡意軟體

惡意軟體年Mezo年

翻譯為：

網路安全研究人員發現了一項代號為 ZipLine 的複雜社會工程攻擊活動，該活動利用了一種名為 MixShell 的隱密記憶體惡意軟體。該活動主要針對供應鏈關鍵型製造企業，顯示攻擊者利用可信任業務工作流程而非傳統網路釣魚方法進行攻擊的趨勢日益增長。

與傳統的透過未經請求的電子郵件發送的網路釣魚攻擊不同，ZipLine 的經營者透過公司的「聯絡我們」表單開始入侵。這種巧妙的方法從一開始就建立了信譽。接下來是長達數週的專業且令人信服的溝通，通常會以偽造的保密協議作為補充，然後攻擊者才會發送一個包含 MixShell 的惡意 ZIP 壓縮包。

這種耐心建立信任的策略，讓 ZipLine 有別於那些以恐嚇為目的的攻擊活動。在某些情況下，攻擊者甚至會將攻擊策略圍繞著人工智慧驅動的計畫展開，將自己偽裝成能夠幫助降低成本、提高效率的合作夥伴。

ZipLine 的目標範圍廣泛，但主要集中在美國供應鏈關鍵產業的組織。其他受影響的地區包括新加坡、日本和瑞士。

重點針對的行業包括：

攻擊者也會使用模仿美國註冊有限責任公司的域名，有時還會盜用合法但不活躍企業的域名。這些克隆網站表明，這是一個高度結構化、規模龐大的攻擊行動。

ZipLine 的成功之處在於其多階段感染流程，旨在實現隱藏性和持久性。這些被武器化的 ZIP 壓縮套件通常託管在合法的雲端服務 Herokuapp.com 上，這有助於惡意軟體融入正常的網路活動。

感染過程包括：

載入程式部署了 MixShell，這是一種完全在記憶體中執行的自訂植入程式。

MixShell 透過 DNS 隧道（帶有 HTTP 回退）進行通信，從而實現遠端命令執行、檔案操作、反向代理、持久性和網路滲透。

一些版本包括反調試和沙盒逃避技術，以及保持持久性的計劃任務。

值得注意的是，LNK文件還會啟動一個誘餌文檔，進一步掩蓋惡意行為。

研究人員發現，ZipLine 基礎設施中使用的數位憑證與名為 UNK_GreenSec 的威脅組織發起的 TransferLoader 攻擊相關的憑證有重疊。雖然歸屬尚不確定，但這種聯繫暗示該組織組織嚴密、資源豐富，並曾參與大規模攻擊活動。

MixShell 感染一旦成功，後果可能非常嚴重，從智慧財產權盜竊、商業電子郵件洩露，到勒索軟體事件和供應鏈中斷，不一而足。鑑於目標產業的性質，其影響可能不僅限於單一公司，甚至波及整個生產生態系統。

ZipLine 活動強調了網路犯罪分子如何創新，利用人類心理、可信賴溝通管道和人工智慧相關主題來獲取信任。

為了應對此類威脅，組織必須：

建立警覺的文化至關重要。信任一旦被武器化，就會成為攻擊者最有效的武器之一。

搜索