夜雨聆风导 读
研究人员发现一个针对中国教育领域,特别是常州大学的高度针对鱼叉式钓鱼行动。该钓鱼邮件包含一个名为“常州大学2026年《国家学生体质健康标准》测试通知最终版.zip”的 ZIP 附件,伪装成官方大学通知。
这种社会工程异常精准:在这场适任性评估中失败,直接影响毕业资格,产生紧迫感,促使学生和教职工打开档案。
主要目标包括大学、政府附属学术机构、体育部门、行政人员以及需要完成体能评估的学生。
攻击始于一封通过 163.com 账户发送的伪造电子邮件,冒充大学通讯。打开后,ZIP档案呈现出一份与官方通知极为相似的诱饵文件,包含真实员工姓名、联系电话和机构封印元素,这些元素使受害者难以核实。
ZIP档案内包括:
- 一个伪装成PDF的欺骗性LNK文件作为初始触发器。
- 四层嵌套目录模仿 macOS 的元数据结构,以隐藏恶意组件免受扫描器发现。
这种分层设计降低了自动扫描和人工检查时的可见性。
Seqrite Labs在一份报告中表示,发现了一个针对中国教育领域,特别是常州大学的高度针对鱼叉式钓鱼行动。攻击者利用了与2026年强制性全国学生体能与健康标准测试周期相关的文化和制度相关诱饵。
多阶段执行
感染链经历多个阶段:
第一阶段:LNK执行
LNK 文件通过 explorer.exe 执行隐藏的 VBScript,这是一种“离地生活”技术,避免触发监控脚本解释器的安全工具。
第二阶段:VBScript 加载器
一个名为chromedo.vbs的轻量脚本负责执行。脚本执行下一个有效载荷的同时打开诱饵PDF。短暂的延迟确保文档在恶意活动开始前看起来合法。
第三阶段:DLL侧载
脚本会从隐藏目录中启动一个合法的Bandizip可执行文件。恶意的 DLL 侧载(ark.x64.dll)会与之并存,利用 Windows DLL 搜索顺序在可信进程中加载攻击者控制的代码。
感染链(来源:Seqrite Labs)
恶意DLL采用先进的反分析技术:
- 调试检查使用 GetTickCount、IsDebuggerPresent 和 CheckRemoteDebuggerPresent 进行。
- 使用VirtualAlloc进行加密字符串和运行时解密。
- 通过流程枚举来检测像Wireshark、Procmon和Fiddler这样的工具。
- 如果检测到分析工具,执行会暂停以避免被检测。
验证后,恶意软件解密并直接将混淆的音效载荷加载到内存中。随后绕过AMSI和ETW等安全控制,部署最后阶段的Cobalt Strike信标。
值得注意的是,整个有效载荷链都在内存中运行,磁盘上留下的取证文件极少。
嵌套的macOS风格文件夹
研究人员通过共享的文物将多个样本联系起来,包括在 LNK 文件中重复使用的机器 ID,以及 Bandizip 作为一种自给自足的工具的持续使用。
一个双扩展的 LNK 文件(来源:Seqrite Labs)
C2服务器可追溯至60.205.186.162,托管在阿里云(AS37963)上。基础设施分析显示,存在与中国托管商如HiChina和Feishu的联系。
Seqrite Labs将该活动归因于威胁组织UNG0002,信心中偏高。该组织与之前名为“Operation Cobalt Whisper”的黑客活动在战术上有高度重叠。
此次活动凸显了一个日益增长的趋势:攻击者将高保真社交工程与高度混淆的传递机制结合起来。嵌套文件夹结构的使用、合法的软件滥用以及内存内执行,展示了现代威胁如何在保持操作隐蔽的同时规避传统检测。
建议加强电子邮件过滤,限制 LNK 文件的执行,并监控非法工具如归档工具的异常使用,以减少此类攻击的风险。
技术报告:
《龙啸行动:UNG0002通过武装化的制度诱饵瞄准中国学术界》
https://www.seqrite.com/blog/operation-dragon-whistle-ung002-targets-chinese-academia-via-weaponized-institutional-lure/
新闻链接:
https://gbhackers.com/nested-macos-style-folders/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
