通過向特定人群發(fā)送虛假崗位信息乃至offer，從而秘密植入后門。這一“戰(zhàn)術(shù)”已經(jīng)被多個黑客組織運用。

如今，Golden Chickens(金雞網(wǎng)絡(luò)犯罪團伙)甚至將這一“戰(zhàn)術(shù)”服務(wù)化。通過收集受害者的LinkedIn個人資料執(zhí)行魚叉式網(wǎng)絡(luò)釣魚活動，并且將被more_eggs后門感染的系統(tǒng)訪問權(quán)限出售給FIN6，Evilnum和Cobalt Group等網(wǎng)絡(luò)犯罪團伙。

[[391731]]

利用LinkedIn信息定向“撈魚”

在最近發(fā)現(xiàn)的一次攻擊中，黑客仿冒了一封帶有虛假工作機會的網(wǎng)絡(luò)釣魚電子郵件，發(fā)送給了一名從事醫(yī)療技術(shù)工作的專業(yè)人員。郵件中的工作機會與受害者在LinkedIn個人資料頁面上列出的職位相同。

受害者一旦打開郵件中包含的以職位命名的zip文件，就會啟動VenomLNK惡意組件，成為more_eggs感染的第一步。隨后，VenomLNK將使用PowerShell的子系統(tǒng)Windows Management Instrumentation(WMI)部署第二階段：TerraLoader惡意軟件加載程序。

TerraLoader可以劫持兩個合法的Windows進程cmstp和regsvr32，從而加載名為TerraPreter的最終有效負載。該負載為了避開網(wǎng)絡(luò)過濾器，會在Amazon AWS托管的服務(wù)器下載，并作為ActiveX控件進行部署(ActiveX是一個允許通過Internet Explorer執(zhí)行代碼的框架，在Windows上本機支持)。

此外，TerraLoader還可以拖放并打開一個Microsoft Word文檔，讓受害者認為是合法的就業(yè)申請文檔，不會產(chǎn)生懷疑。

Golden Chickens的“客戶”

Golden Chickens的客戶包括FIN6，Evilnum和Cobalt Group。這3個網(wǎng)絡(luò)犯罪組織的共性是都以金融行業(yè)為目標。

FIN6至少成立于2014年，以實體銷售點系統(tǒng)為目標，最近還通過在線支付系統(tǒng)竊取卡數(shù)據(jù)并將其出售在地下市場。據(jù)悉FIN6在2019年針對電子商務(wù)公司的攻擊中就曾使用了more_eggs后門。Evilnum則自2018年以來一直以金融技術(shù)公司和股票交易平臺為攻擊目標，而Cobalt Group專門研究如何從銀行和其他金融組織竊取錢財，該組織以強大的偵察能力和耐心而著稱，可以在受害者網(wǎng)絡(luò)中潛伏數(shù)月。

對于受more_eggs后門感染的系統(tǒng)，Golden Chickens的客戶可以如入無人之境一樣，用任何類型的惡意軟件再次感染受害者系統(tǒng)，比如通過勒索軟件、憑據(jù)竊取器、銀行惡意軟件攻擊，或者將后門作為立足點進而竊取數(shù)據(jù)。

隨著Golden Chickens的后門服務(wù)出售，再考慮到使用more_eggs的黑客組織類型及其復(fù)雜程度，意味著受害者將面臨未知且強大的黑客組織的威脅。

參考來源：csoonline