Cyble 研究与情报实验室 (CRIL) 发现了一项复杂的网络攻击活动,该活动使用恶意 LNK 文件,可能通过垃圾邮件进行分发。这项复杂的攻击活动可能是由臭名昭著的 Turla 高级持续性威胁 (APT) 组织策划的,它利用人权研讨会邀请和公共咨询作为诱饵,利用恶意负载入侵用户系统。
威胁行为者 (TA) 通过在 .LNK 文件中嵌入诱饵 PDF 和 MSBuild 项目文件来展示高水平的复杂性,确保无缝执行过程。利用 Microsoft 构建引擎 (MSBuild),TA 执行这些项目文件以部署隐秘的无文件最终有效负载,充当后门以方便对受感染系统进行远程控制。
Turla APT 组织感染链
![]()
攻击以隐藏在 ZIP 存档中的恶意 .LNK 文件展开,可能通过网络钓鱼电子邮件发送。执行后,.LNK 文件会触发 PowerShell 脚本,启动一系列操作。这些操作包括从 .LNK 文件中提取内容并在 %temp% 位置创建三个不同的文件:诱饵 PDF、加密数据和自定义 MSBuild 项目。
来源:Cyble
伪装的 .LNK 文件会触发 PowerShell 脚本,然后该脚本会打开诱饵 PDF,同时静默执行嵌入式 MSBuild 项目。
来源:Cyble
该项目文件包含加密内容,采用 Rijndael 算法来解密数据,随后执行最终的后门有效负载。
来源:Cyble
使用 MSBuild.exe 执行解密的 MSBuild 项目文件时,会直接在内存中运行内联任务。此任务使后门能够启动各种操作,包括监视进程、执行命令以及与命令和控制 (C&C) 服务器通信以获取进一步指令。
Turla APT 组织的威胁行为者归因
据CRIL称,由于代码中的俄语注释以及与之前的 Turla 活动的行为相似,此次活动背后的威胁行为者是 Turla APT 组织。该组织针对非政府组织的重点与引用人权研讨会的诱饵文件一致。
MSBuild 和其他合法应用程序的利用凸显了威胁行为者的持久性。通过利用固有功能,Turla APT 组织可以逃避传统的安全措施。组织必须采用多层安全方法来有效降低风险。
为了加强对 Turla APT 组织等复杂威胁的防御,组织应采取关键的网络安全措施。这包括实施强大的电子邮件过滤功能以阻止恶意附件,并在处理来自未知来源的电子邮件附件时保持谨慎。
将 MSBuild 等开发工具的访问权限限制为授权人员有助于防止滥用,同时禁用 PowerShell 等不必要的脚本语言可降低被利用的风险。建立网络级监控对于快速检测和响应异常活动至关重要。这些做法共同增强了安全态势,保护敏感数据和系统免受网络威胁。
发表评论
您还未登录,请先登录。
登录