Proofpoint发现针对半导体行业的网络钓鱼攻击
2025年3月至6月期间,多个威胁组织对半导体制造、设计和供应链组织发动了协同攻击,攻击者利用以就业为主题的网络钓鱼电子邮件来传播恶意负载。
Proofpoint 分析师发现,UNK_FistBump 采用了双重有效载荷策略,通过精心策划的鱼叉式网络钓鱼活动,同时投放了 Cobalt Strike Beacon 植入物和名为 Voldemort 的自定义后门。
攻击者冒充寻求就业机会的研究生,使用诱饵文件引诱相关组织的HR部门。
该恶意软件的感染机制表现出显著的技术复杂性,首先是包含恶意 LNK 文件的受密码保护的 RAR 档案。
执行后,恶意LNK 文件会触发Store.vbs脚本,该脚本执行几个关键操作。
该脚本将四个文件复制到C:\Users\Public\Videos目录中:
高级DLL 侧加载和持久性机制
攻击链利用DLL 侧载技术对抗合法javaw.exe可执行文件,从而加载恶意jli.dll库。
该 DLL 充当复杂的加载器,rc4.log使用硬编码密钥解密文件中存储的 RC4 加密的 Cobalt Strike Beacon 有效负载qwxsfvdtv。
该恶意软件通过修改注册表来建立持久性HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,创建一个条目以确保恶意javaw.exe可执行文件在系统启动期间启动。
随后, Cobalt Strike Beacon 通过 TCP 端口 443 与服务器166.88.61[.]35建立C2通信,利用定制的 GoToMeeting 可塑 C2 配置文件将网络流量与合法协作软件通信混合。
技术报告:
https://www.proofpoint.com/us/blog/threat-insight/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor-targeting