时,他们会偷偷植入后门。这种“战术”已被多个黑客??组织使用。如今,GoldenChickens(金鸡网络犯罪团伙)甚至将这种“战术”变成了一种服务。鱼叉式网络钓鱼活动是通过收集受害者的LinkedIn个人资料来执行的,对受more_eggs后门感染的系统的访问权被出售给FIN6、Evilnum和CobaltGroup等网络犯罪团伙。在最近发现的一次攻击中,黑客向医疗技术专业人士发送了一封包含虚假工作机会的网络钓鱼电子邮件。电子邮件中的工作机会与受害者LinkedIn个人资料页面上列出的职位相同。一旦受害者打开邮件中包含的以邮件命名的zip文件,就会启动VenomLNK恶意组件,这是more_eggs感染的第一步。然后,VenomLNK将使用PowerShell的子系统WindowsManagementInstrumentation(WMI)部署第二阶段:TerraLoader恶意软件加载程序。TerraLoader可以劫持两个合法的Windows进程,cmstp和regsvr32,以加载名为TerraPreter的最终payload。为了规避Web过滤器,有效负载被下载到由AmazonAWS托管的服务器上并部署为ActiveX控件(ActiveX是一个允许通过InternetExplorer执行代码的框架,并且在Windows上得到原生支持)。此外,TerraLoader可以拖放和打开MicrosoftWord文档,让受害人相信这是一份合法的就业申请文件,而不会引起怀疑。GoldenChickens的“客户”GoldenChickens的客户包括FIN6、Evilnum和CobaltGroup。这三个网络犯罪组织的共同点是它们都以金融行业为目标。FIN6至少成立于2014年,其目标是实体销售点系统,最近还通过在线支付系统窃取卡数据并在地下市场上出售。据悉,FIN6在2019年对电商企业的攻击中使用了more_eggs后门。Evilnum自2018年以来一直以金融科技公司和股票交易平台为目标,而CobaltGroup则专门从银行和其他金融组织窃取资金。在网络潜伏数月。对于感染了more_eggs后门的系统,GoldenChickens客户可以进入无人区并使用任何类型的恶意软件重新感染受害者的系统,例如通过勒索软件、凭据窃取器、银行恶意软件攻击,或通过插入后门作为窃取数据的立足点。随着GoldenChickens后门服务的出售,考虑到使用more_eggs的黑客组织的类型和复杂性,意味着受害者将面临未知的强大黑客组织的威胁。参考来源:csoonline
