丝绸诱饵行动:中国金融科技企业遭恶意简历LNK文件攻击,ValleyRAT木马被植入
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Seqrite实验室发现代号为"丝绸诱饵行动"的网络间谍活动,攻击者通过恶意简历渗透中国金融科技和加密货币企业,利用复杂的鱼叉式钓鱼技术和多阶段载荷,最终植入ValleyRAT木马进行数据窃取和系统监控。
🎯
关键要点
- Seqrite实验室发现代号为'丝绸诱饵行动'的网络间谍活动。
- 攻击者通过恶意简历渗透中国金融科技和加密货币企业。
- 使用复杂的鱼叉式钓鱼技术,伪装成求职者发送恶意.LNK文件。
- 诱饵简历完全使用简体中文编写,增加了可信度。
- 恶意LNK文件启动PowerShell命令下载其他恶意文件。
- 恶意软件通过计划任务建立持久性,伪装成微软进程。
- keytool.exe作为加载程序,解密并执行隐藏的shellcode。
- ValleyRAT木马用于系统指纹识别、键盘记录和数据外泄。
- 恶意软件能够管理受感染主机并执行多种命令。
- 基础设施分析将该行动的后端服务器与SonderCloud Limited联系起来。
➡️
