More_eggs Malware

More_eggs惡意軟件是一種複雜的後門Trojan威脅，已通過MaaS（惡意軟件即服務）方案提供。威脅的開發者被認為是Golden Chickens黑客組織，他們已經能夠吸引FIN6，Evilnum和Cobalt Group等幾個主要的APT（高級持久威脅）組織作為客戶。 More_eggs的惡意功能使威脅幾乎始終未被發現，同時允許特定的黑客組織通過根據其特定目標下載不同的最終階段惡意軟件有效負載來升級攻擊。

假工作機會電子郵件傳播更多_雞蛋後門

在more_eggs攻擊活動中，最初的危害向量通常是帶有武器化文件附件的定向魚叉式網絡釣魚電子郵件。 eSentire的研究團隊發現了涉及此後門威脅的最新操作。根據他們的發現，一個迄今未明身份的黑客組織已開始以提供虛假工作機會的高級員工為目標。電子郵件中附帶的惡意zip文件是根據特定目標的LinkedIn個人資料中的工作職位來命名的。例如，如果所選用戶的工作在LinkedIn上列為“高級產品經理”，則該zip文件將採用準確的措詞，並在其中添加“職位”-“高級產品經理-職位”。打開檔案將啟動無文件more_eggs木馬的安裝過程。

攻擊鏈

more_eggs的安裝過程分為多個階段和幾個中間加載程序。第一步，受害人通過與通過魚叉式電子郵件發送的文件進行交互，實際上運行了VenomLNK，這是more_eggs特洛伊木馬程序的初始階段。 VenomLNK濫用Windows Management Instrumentation來啟用名為TerraLoader的下一階段插件加載程序。反過來，TerraLoader劫持了合法的Windows進程cmstp和regsvr32 。為了掩蓋後台進行的邪惡活動，此時，威脅向受害者提供了誘餌的Word文檔，該文檔旨在顯示為合法的工作應用程序。同時，TerraLoader通過在目標用戶的漫遊配置文件中安裝msxsl來繼續其任務，並從從Amazon Web Services獲取的ActiveX控件文件中加載名為TerraPreter的新有效負載。

攻擊的下一階段是看到新建立的TerraPreter有效載荷開始通過武器化的mxsxl副本向命令與控制（C2，C＆C）服務器發送信標。信標會向威脅行為者發出警報，告知more_eggs已在受害者的系統上完全建立，並可以繼續進行操作。然後，黑客可以指示威脅下載並執行勒索軟件和信息竊取程序等最終階段的有效負載，或開始洩露敏感的用戶數據。

以前的More_eggs廣告系列

more_eggs的避免檢測技術，例如利用本機Windows進程以及多種功能，已幫助Golden Chickens吸引了多個ATP黑客團體作為客戶。 Infosec研究人員已經看到FIN6，Evilnum和Cobalt Group正在使用後門威脅。儘管這三者都可以說是針對金融行業的公司，但它們的運作卻大不相同。 FIN6專門從事盜竊支付卡數據的工作，這些數據隨後在地下交易平台上出售。他們的主要目標是POS（銷售點）設備和電子商務公司。另一方面，Evilnum緊追金融技術公司和股票交易平台提供商。它們通過竊取電子表格，客戶列表，交易操作和帳戶憑據來確定有關滲透公司及其客戶的敏感私人信息。 Cobalt Group還以金融公司為目標，到目前為止，它已在多個業務中使用了更多雞蛋。