维度网讯，ESTsecurity发现一种新型鱼叉式钓鱼攻击方式，攻击者以“个人信息泄露疑似确认请求”等标题发送电子邮件，先向企业实际业务负责人发送伪装邮件，通过多次沟通建立信任，再诱导其下载恶意文件。攻击本身为常规鱼叉式钓鱼，但当邮件中的恶意链接被安全解决方案屏蔽后，攻击者会以“似乎是误报”等话术安抚用户，诱使其打开链接。

从ESTsecurity安全响应中心APT威胁检测系统发现的案例来看，攻击者首先与特定企业的实际业务负责人多次正常收发邮件以建立信任，随后诱导其执行恶意文件。首次尝试中，因邮件内恶意链接被企业安全方案拦截，攻击者便安抚负责人称“经内部安全团队检查无异常，疑似误报”；随后，为绕过杀毒软件监控，攻击者以设置了密码的压缩文件形式重新发送恶意代码。用户解压并执行伪装成普通文档的恶意Windows快捷方式(LNK)文件时，后台会强制调用32位PowerShell，从而绕过部分安全方案检测。用户看到的是正常的Excel(XLSX)或PDF客户现状文档，但系统信息已被窃取，并执行额外恶意行为。

攻击者为躲避检测使用了两种框架。第一种利用正常云服务Dropbox API作为命令控制服务器，窃取PC内信息，并包含检测虚拟环境分析的功能。第二种直接与攻击者自有的HTTPS服务器通信，将伪装成韩国知名安全软件自动更新的文件注册到启动项中，确保持久性并隐藏命令。ESRC对收集的3种恶意样本进行精密分析后确认，它们均共享相同内部结构和伪装成客户现状的诱饵文档，即同一攻击团体在同一活动中根据情况更换工具运营。共同确认的特征包括：以个人信息泄露为名多次邮件往来的精密社交工程；通过LNK文件相同的初始执行方式及使用韩语诱饵文档的共同渗透链；同时使用正常云和自有域名以确保在屏蔽时拥有替代通道的多命令控制(C2)基础设施运营；以“Pan”系列活动标识符和伪装成韩国安全软件等针对韩国组织的韩国国内目标迹象。

ESRC相关人士强调，此次攻击以安全负责人最关注的个人信息泄露为名，避免了怀疑；即使发件人是外部人员且对话自然进行，在执行附件或链接时也需格外注意。该人士提醒，对于安全解决方案已拦截的文件，若对方声称是误报并以密码压缩文件重新发送，是明显攻击信号，绝对不要执行；企业实际工作人员应在Windows资源管理器设置中取消“隐藏已知文件类型的扩展名”选项，执行前务必确认实际扩展名(LNK、EXE等)，养成安全操作习惯。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com