LinkedIn се използва като начален вектор за атака в многоетапна RAT кампания срещу компании
Нова фишинг кампания използва LinkedIn като начален вектор за компромис, за да доставя remote access trojan (RAT) в корпоративни среди.
Атаката разчита основно на социално инженерство, използвайки доверието в професионалната платформа, за да подтикне служители да изтеглят и стартират злонамерени файлове.
Кампанията заобикаля традиционните email защитни механизми, тъй като комуникацията се осъществява извън пощата.
Начална точка на атаката
Атакуващите изпращат директни съобщения в LinkedIn, представяйки се за рекрутъри, партньори или колеги от бранша.
Съобщенията са съобразени с ролята на жертвата и съдържат правдоподобни бизнес теми.
Жертвите получават линкове към зловредни WinRAR self-extracting архиви, именувани така, че да изглеждат легитимни и релевантни за работата им.
Изпълнение и заобикаляне на защити
При стартиране архивът извлича както легитимни, така и злонамерени компоненти.
Стартира се реално PDF приложение, но паралелно се зарежда злонамерен DLL файл, разположен в същата директория.
Тази техника, известна като DLL sideloading, използва начина, по който Windows зарежда библиотеки, и позволява изпълнение на зловреден код под прикритието на доверен процес.
Многоетапен компромис и устойчивост
Анализът показва следната последователност:
Начално изпълнение чрез DLL sideloading
Инсталиране на Python интерпретатор
In-memory изпълнение на Base64-кодиран Python payload
Създаване на persistent registry Run ключ
Подходът свежда до минимум файловите следи и затруднява откриването.
След установяване на устойчив достъп компрометираната система може да бъде използвана за:
Дългосрочен отдалечен контрол
Повишаване на привилегии
Латерално придвижване
Кражба на чувствителни данни
Защо кампанията е ефективна
Ефективността се дължи на комбинация от:
Доверен комуникационен канал
Файлове, съобразени с бизнес контекста
Злоупотреба с легитимен софтуер
In-memory техники и ниска видимост
Позицията на DIAMATIX
Кампанията ясно показва, че initial access вече не се ограничава до email.
Професионалните социални платформи се превръщат в слабо наблюдавани зони за атаки.
Основни изводи:
Социалното доверие се използва като оръжие
DLL sideloading остава ефективна техника
Устойчивият достъп е основна цел, не бързият ефект
Защитата трябва да обхваща всички канали, през които служителите получават файлове и заявки.
Заключение
LinkedIn-базираните атаки показват как заплахите се адаптират към подобрените защити, като се насочват към по-малко наблюдавани повърхности.
С нарастващата роля на колаборативните платформи, организациите трябва да разширят обхвата на своята сигурност.
Trusted · Innovative · Vigilant
Източници
ReliaQuest. Анализ на фишинг кампанията и DLL sideloading техниките
Microsoft documentation. Dynamic Link Library search order
WinRAR security research on self-extracting archive abuse
Public malware research on Python-based RAT loaders
Open-source threat intelligence on social engineering via LinkedIn
Получавайте актуални новини и експертни анализи за киберсигурност
