摘要：网络安全公司 Check Point 表示，与攻击者发送恶意电子邮件的传统网络钓鱼活动不同，这些攻击背后的黑客首先通过公司网站表格联系受害者，使交流看起来更可信。

研究人员表示，黑客利用美国工业和科技公司的“联系我们”表格发送伪装成保密协议文件的恶意软件。

网络安全公司 Check Point 表示，与攻击者发送恶意电子邮件的传统网络钓鱼活动不同，这些攻击背后的黑客首先通过公司网站表格联系受害者，使交流看起来更可信。

黑客会持续对话长达两周，冒充潜在的商业伙伴，并要求受害者签署保密协议。最终，他们会将一份合同以ZIP压缩包的形式发送到Heroku（一个合法的云平台）上，其中包含名为MixShell的定制恶意软件。

ZipLine黑客活动的社会工程流程

研究人员在周二的一份报告中表示：“与受害者的长期接触表明攻击者愿意投入时间……可能根据感知价值或易于入侵的情况来调整他们的努力。”

大多数受害者是美国公司，包括机械、金属制品和零部件等工业制造商。该活动还瞄准了硬件、半导体、生物技术、制药、航空航天、能源和消费品领域的公司。新加坡、日本和瑞士的一些公司也成为攻击目标。

Check Point 表示，并非所有 ZIP 档案都是恶意的，其中一些包含无害文档，这表明真正的恶意软件可能是根据受害者的 IP 地址、浏览器或其他详细信息从 Heroku 网站有选择地上传的。

感染链

为了增强攻击活动的可信度，攻击者使用了与真实美国注册企业绑定的域名，其中一些域名甚至可以追溯到2015年。

实际上，这些网站都是假的，全部复制自同一模板，“关于我们”页面上显示的是白宫管家的照片，而这些管家的照片却被伪装成公司创始人。研究人员表示，通过使用长期存在的域名，攻击者得以绕过安全过滤器。

Check Point 尚未将此次攻击活动归咎于特定的威胁组织，但发现此次行动中使用的一台服务器与一个名为 UNK_GreenSec 的鲜为人知的集群基础设施存在重叠，该集群此前曾被曝出与俄罗斯相关的网络犯罪分子存在关联。

该公司认为，此次行动可能出于经济动机。

来源：会杀毒的单反狗