摘要：该公司表示：“攻击者并非发送未经请求的网络钓鱼邮件，而是通过公司公开的‘联系我们’表单发起联系，诱骗员工发起对话。接下来是数周的专业、可信的沟通，通常以虚假的保密协议 (NDA) 为封号，然后发送一个带有隐蔽内存恶意软件 MixShell 的武器化 ZIP 文

Check Point 研究人员正在关注一项复杂的社会工程活动，该活动利用一种名为 MixShell 的内存恶意软件针对供应链关键设施制造商。

Check Point Research将这项活动命名为ZipLine 。

该公司表示：“攻击者并非发送未经请求的网络钓鱼邮件，而是通过公司公开的‘联系我们’表单发起联系，诱骗员工发起对话。接下来是数周的专业、可信的沟通，通常以虚假的保密协议 (NDA) 为封号，然后发送一个带有隐蔽内存恶意软件 MixShell 的武器化 ZIP 文件。”

这些攻击范围广泛，涉及多个行业和地区的多个组织，影响包括美国、新加坡、日本和瑞士等国。

主要目标包括工业制造企业，例如机械、金属加工、零部件生产和工程系统，以及与硬件和半导体、消费品、生物技术和制药相关的企业。

该活动的来源和动机目前尚不清楚，Check Point 表示，它发现攻击中使用的 IP 地址与 Zscaler 和 Proofpoint 先前确定的用于名为 UNK_GreenSec 的威胁集群发起的TransferLoader 攻击的基础设施之间存在重叠的数字证书。

虽然使用网站联系表单作为恶意软件分发媒介的方法并不是最新手法，ZipLine 的独特之处在于它避免使用恐吓策略和紧急语言来诱骗收件人采取非预期的行动。

这种耐心细致的社会工程技术会诱导受害者进行长达数周的对话，有时甚至会指示他们签署保密协议 (NDA)，然后发送带有陷阱的 ZIP 文件。

近期的社会工程浪潮也利用了人工智能 (AI) 的转型趋势，攻击者会“主动”帮助目标实体实施以人工智能为中心的新举措，以降低成本并提高效率。

攻击链的特点是多阶段有效载荷、内存执行和基于 DNS 的命令和控制 (C2) 通道，使威胁组织能够保持低调。

具体来说，ZIP 存档配备了一个 Windows 快捷方式 (LNK)，可以触发 PowerShell 加载程序，然后为自定义内存 MixShell 植入铺平道路，该植入程序使用 DNS 隧道和 HTTP 作为后备 C2 机制来支持远程命令执行、文件操作、反向代理、隐身持久性和更深层次的网络渗透。

MixShell 还提供了一种 PowerShell 变体，它结合了高级反调试和沙盒规避技术，使用计划任务实现持久性，并放弃了反向代理 shell 和文件下载功能。

恶意 ZIP 文件托管在 Herokuapp[.]com 子域，这是一个合法的平台即服务 (PaaS)，为托管 Web 应用程序提供计算和存储基础设施——再次说明威胁组织会滥用合法服务来融入正常的企业网络活动。

负责启动执行链的 LNK 文件还会显示 ZIP 文件中存在的诱饵文档，以免引起受害者的怀疑。即便如此，Check Point 指出，并非所有从 Heroku 域提供的 ZIP 文件都是恶意的，这表明恶意软件会根据某些标准实施定制投放。

Check Point 表示：“在许多情况下，攻击者使用的域名与在美国注册的有限责任公司 (LLC) 的名称相匹配，在某些情况下，这些域名可能之前属于合法企业。攻击者维护着与所有这些公司类似的模板网站，这暗示着这是一场精心策划、规模庞大的攻击活动。”

该活动对公司构成了严重风险，因为它可能导致知识产权盗窃和勒索软件攻击、商业电子邮件泄露和账户接管，从而造成金融欺诈，以及潜在的供应链中断并产生连锁影响。

攻击者的创新速度比以往任何时候都快——他们融合了人类心理、值得信赖的沟通渠道以及适时的人工智能主题诱饵。

为了确保安全，组织必须采用以预防为先、人工智能驱动的防御措施，并建立一种警惕的文化，将每一次入站交互都视为潜在威胁。

详细技术报告：

来源：会杀毒的单反狗