黑客伪造保密协议,向美国制造商投递恶意软件
HackerNews 编译,转载请注明出处: 网络安全研究人员发现,黑客正通过滥用企业官网“联系我们”表单,向美国工业及科技公司投递伪装成保密协议文件的恶意软件。与传统钓鱼攻击不同,黑客首先通过企业官网表单联系受害者,使后续通信更具可信度。 黑客假扮潜在商业伙伴,与目标企业进行长达两周的沟通,要求受害者签署保密协议。最终发送的合同文件托管在合法云平台Heroku上,实际为包含定制化恶意软件MixShell的ZIP压缩包。研究人员指出:“这种长期互动表明攻击者愿意投入时间,可能根据目标价值或入侵难度调整策略”。 约80%的受害者位于美国,主要为工业机械、金属加工及零部件制造商。半导体、生物技术、制药、航空航天、能源及消费品行业企业同样遭袭,新加坡、日本和瑞士亦有企业受害。 值得注意的是,并非所有ZIP文件均含恶意代码——部分仅包含无害文档。这表明黑客可能根据受害者IP地址、浏览器特征等条件,在Heroku平台选择性投放真实恶意负载。 为增强可信度,攻击者使用注册于美国的真实企业域名(部分可追溯至2015年)。这些域名对应的网站实为统一模板生成的虚假页面,“关于我们”栏目均使用同一张白宫管家照片冒充公司创始人。凭借长期存在的域名信誉,攻击者成功绕过安全过滤系统。 尽管尚未锁定具体攻击组织,但Check Point发现某台服务器与黑客组织UNK_GreenSec的基础设施存在重叠。该组织此前曾显现与俄罗斯背景黑客的关联迹象,研究人员判断此次攻击主要出于经济利益驱动。 消息来源: therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文