通過向特定人群發送虛假崗位信息乃至offer，從而秘密植入后門。這一“戰術”已經被多個黑客組織運用。

如今，Golden Chickens(金雞網絡犯罪團伙)甚至將這一“戰術”服務化。通過收集受害者的LinkedIn個人資料執行魚叉式網絡釣魚活動，并且將被more_eggs后門感染的系統訪問權限出售給FIN6，Evilnum和Cobalt Group等網絡犯罪團伙。

[[391731]]

利用LinkedIn信息定向“撈魚”

在最近發現的一次攻擊中，黑客仿冒了一封帶有虛假工作機會的網絡釣魚電子郵件，發送給了一名從事醫療技術工作的專業人員。郵件中的工作機會與受害者在LinkedIn個人資料頁面上列出的職位相同。

受害者一旦打開郵件中包含的以職位命名的zip文件，就會啟動VenomLNK惡意組件，成為more_eggs感染的第一步。隨后，VenomLNK將使用PowerShell的子系統Windows Management Instrumentation(WMI)部署第二階段：TerraLoader惡意軟件加載程序。

TerraLoader可以劫持兩個合法的Windows進程cmstp和regsvr32，從而加載名為TerraPreter的最終有效負載。該負載為了避開網絡過濾器，會在Amazon AWS托管的服務器下載，并作為ActiveX控件進行部署(ActiveX是一個允許通過Internet Explorer執行代碼的框架，在Windows上本機支持)。

此外，TerraLoader還可以拖放并打開一個Microsoft Word文檔，讓受害者認為是合法的就業申請文檔，不會產生懷疑。

Golden Chickens的“客戶”

Golden Chickens的客戶包括FIN6，Evilnum和Cobalt Group。這3個網絡犯罪組織的共性是都以金融行業為目標。

FIN6至少成立于2014年，以實體銷售點系統為目標，最近還通過在線支付系統竊取卡數據并將其出售在地下市場。據悉FIN6在2019年針對電子商務公司的攻擊中就曾使用了more_eggs后門。Evilnum則自2018年以來一直以金融技術公司和股票交易平臺為攻擊目標，而Cobalt Group專門研究如何從銀行和其他金融組織竊取錢財，該組織以強大的偵察能力和耐心而著稱，可以在受害者網絡中潛伏數月。

對于受more_eggs后門感染的系統，Golden Chickens的客戶可以如入無人之境一樣，用任何類型的惡意軟件再次感染受害者系統，比如通過勒索軟件、憑據竊取器、銀行惡意軟件攻擊，或者將后門作為立足點進而竊取數據。

隨著Golden Chickens的后門服務出售，再考慮到使用more_eggs的黑客組織類型及其復雜程度，意味著受害者將面臨未知且強大的黑客組織的威脅。

參考來源：csoonline