Proofpoint发现针对半导体行业的网络钓鱼攻击

Proofpoint发现针对半导体行业的网络钓鱼攻击

编程文章jaq1232025-08-16 16:42:293A+A-

2025年3月至6月期间,多个威胁组织对半导体制造、设计和供应链组织发动了协同攻击,攻击者利用以就业为主题的网络钓鱼电子邮件来传播恶意负载。


Proofpoint 分析师发现,UNK_FistBump 采用了双重有效载荷策略,通过精心策划的鱼叉式网络钓鱼活动,同时投放了 Cobalt Strike Beacon 植入物和名为 Voldemort 的自定义后门。


攻击者冒充寻求就业机会的研究生,使用诱饵文件引诱相关组织的HR部门。


该恶意软件的感染机制表现出显著的技术复杂性,首先是包含恶意 LNK 文件的受密码保护的 RAR 档案。


执行后,恶意LNK 文件会触发Store.vbs脚本,该脚本执行几个关键操作。


该脚本将四个文件复制到C:\Users\Public\Videos目录中:


高级DLL 侧加载和持久性机制


攻击链利用DLL 侧载技术对抗合法javaw.exe可执行文件,从而加载恶意jli.dll库。


该 DLL 充当复杂的加载器,rc4.log使用硬编码密钥解密文件中存储的 RC4 加密的 Cobalt Strike Beacon 有效负载qwxsfvdtv。


该恶意软件通过修改注册表来建立持久性HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,创建一个条目以确保恶意javaw.exe可执行文件在系统启动期间启动。


随后, Cobalt Strike Beacon 通过 TCP 端口 443 与服务器166.88.61[.]35建立C2通信,利用定制的 GoToMeeting 可塑 C2 配置文件将网络流量与合法协作软件通信混合。


技术报告:

https://www.proofpoint.com/us/blog/threat-insight/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor-targeting

点击这里复制本文地址 以上内容由jaq123整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

苍茫编程网 © All Rights Reserved.  蜀ICP备2024111239号-21