Vampire Bot Malware
一個被追蹤為 BatShadow 的越南語威脅行為者正在進行一項有針對性的攻擊活動,誘騙求職者和數位行銷專業人士安裝一種先前未記錄的基於 Go 的惡意軟體,研究人員將其稱為「吸血鬼機器人 (Vampire Bot)」。該組織冒充招募人員,分發看似合法的職位描述和公司 PDF 文件,一旦與之互動,就會觸發多階段感染鏈,並具備遠端監控和資料竊取的能力。
目錄
社會工程學與誘餌投放
攻擊者精心製作招聘郵件和 ZIP 附件,其中包含誘餌 PDF 文件以及偽裝成 PDF 的惡意快捷方式 (LNK) 或可執行文件。這些文件誘餌專門針對行銷職位(其中一個誘餌提到了萬豪酒店的行銷職位),以提高目標受害者的可信度。受害者會被鼓勵「預覽」或下載職位描述,從而啟動多階段攻擊序列。
感染鏈進展
ZIP 套件中包含一個惡意 LNK 文件,用於執行嵌入的 PowerShell 腳本。該腳本會聯繫外部伺服器,以取得誘餌 PDF 檔案和一個單獨的 ZIP 包,其中包含與 XtraViewer(遠端桌面軟體)相關的檔案。 XtraViewer 元件會被執行(可能是為了建立持久性或遠端存取),攻擊鏈會持續執行,直到 Go 執行檔被部署。
濫用 Edge 重定向
這次攻擊活動的一個關鍵伎倆是建立一個登入頁面,該頁面會顯示一個虛假的「瀏覽器不受支援」錯誤,並指示受害者複製 URL 並在 Microsoft Edge 中開啟。腳本重定向通常會被現代瀏覽器攔截,因此攻擊者依靠誘使用戶執行手動操作(複製/貼上到 Edge 中),然後將該操作視為用戶發起的操作,並允許下載流程繼續進行。在 Edge 中開啟後,頁面會顯示另一個虛假錯誤,聲稱 PDF 已壓縮並“已傳送至您的裝置”,觸發自動 ZIP 下載。
酬載和誘餌的命名技巧
自動下載的 ZIP 檔案包含所謂的職位描述以及一個看起來像 PDF 檔案的惡意執行檔(例如,「Marriott_Marketing_Job_Description.pdf.exe」)。此可執行檔使用了檔案名稱填充(“.pdf”和“.exe”之間額外的空格),因此在某些視圖中看起來像 PDF 文件,從而增加了受害者運行它的可能性。
吸血鬼機器人的能力
投放的可執行檔是一個名為「Vampire Bot」的 Golang 二進位。其功能包括:
- 列舉和分析受感染的主機,
- 竊取大量資料(憑證儲存、文件等),
- 根據可配置的時間表截取螢幕截圖,
和
- 與攻擊者伺服器(報告為 api3.samsungcareers.work)保持命令和控制通信,以接收命令或下載額外的有效載荷。
歸因和基礎設施
分析師根據基礎設施重複使用(例如,一個 IP 位址 (103.124.95.161) 曾與越南相關業者關聯)以及攻擊模式,將此活動與越南連結。 BatShadow 先前曾以數位行銷專業人士為目標,並且與其他以經濟利益為目的的越南組織存在重疊,這些組織已知會部署竊取 Facebook 商業資產的竊取程序。該組織似乎已活躍至少一年,此前曾使用 samsung-work.com 等域名傳播包括 Agent Tesla、Lumma Stealer、Venom RAT 在內的惡意軟體家族,並在 2024 年 10 月通過類似的陷阱式職位描述文件傳播 Quasar RAT。
這次攻擊為何有效?
BatShadow 結合了行業相關的誘餌(行銷招聘廣告)、文件名技巧、階段性有效載荷(用於規避簡單的文件掃描)以及強制執行手動瀏覽器操作以繞過腳本重定向保護的流程。這種社會工程學和多階段技術步驟的結合,增加了成功入侵和長期訪問的可能性。
結論
BatShadow 的攻擊活動凸顯了有針對性的社會工程與分階段規避的技術鏈相結合的有效性。經常招聘或處理求職者流量的組織,以及管理線上資產的數位行銷專業人士,應該加強郵件/附件的處理,實施嚴格的執行控制,並將招聘類附件視為高風險,直至經過驗證。
