黑客利用LinkedIn私信传播RAT恶意软件

网络安全研究人员发现了一种新型钓鱼攻击活动，该攻击利用社交媒体私信传播恶意载荷，目的可能是部署远程访问木马（RAT）。

ReliaQuest在与The Hacker News分享的报告中表示，这项攻击活动"通过动态链接库（DLL）侧加载技术传递武器化文件，并结合合法的开源Python渗透测试脚本"。

攻击过程包括通过LinkedIn消息接触高价值目标个人，建立信任关系，然后欺骗他们下载恶意的WinRAR自解压档案文件。一旦启动，该档案会释放四个不同的组件：一个合法的开源PDF阅读器应用程序、一个被PDF阅读器侧加载的恶意DLL、一个Python解释器的可移植执行文件，以及一个可能用作诱饵的RAR文件。

当PDF阅读器应用程序运行时，感染链被激活，导致恶意DLL被侧加载。DLL侧加载技术已成为威胁行为者越来越常用的手段，通过利用合法进程来规避检测并隐藏恶意活动迹象。

过去一周内，至少有三个已记录的攻击活动利用DLL侧加载技术传播恶意软件家族，包括LOTUSLITE和PDFSIDER，以及其他商品化木马和信息窃取器。

在ReliaQuest观察到的攻击活动中，侧加载的DLL被用来在系统中投放Python解释器，并创建Windows注册表运行键，确保Python解释器在每次登录时自动执行。解释器的主要职责是执行Base64编码的开源外壳代码，该代码直接在内存中执行，避免在磁盘上留下取证痕迹。

最终载荷会尝试与外部服务器通信，为攻击者提供对受感染主机的持续远程访问权限并窃取感兴趣的数据。

滥用合法开源工具，结合在社交媒体平台上发送钓鱼消息的做法，表明钓鱼攻击不仅仅局限于电子邮件，替代传递方法可以利用安全漏洞来提高成功概率并渗透企业环境。

ReliaQuest告诉The Hacker News，该攻击活动似乎范围广泛且具有机会主义特征，活动跨越各个行业和地区。"话虽如此，由于这项活动在私信中进行，而社交媒体平台的监控通常不如电子邮件严密，因此很难量化其完整规模。"

该网络安全公司表示："这种方法允许攻击者绕过检测，以最少的努力扩展其运营规模，同时保持对受感染系统的持续控制。一旦进入系统，他们可以提升权限，在网络中横向移动，并窃取数据。"

这并非LinkedIn首次被滥用于定向攻击。近年来，包括与CryptoCore和Contagious Interview攻击活动相关的多个朝鲜威胁行为者，都曾在LinkedIn上以工作机会为幌子联系受害者，并说服他们运行恶意项目，作为所谓评估或代码审查的一部分。

2025年3月，Cofense还详细描述了一个以LinkedIn为主题的钓鱼攻击活动，该攻击使用与LinkedIn InMail通知相关的诱饵，让收件人点击"阅读更多"或"回复"按钮，并下载ConnectWise开发的远程桌面软件，以完全控制受害者主机。

ReliaQuest表示："企业常用的社交媒体平台代表了大多数组织安全态势中的一个缺口。与电子邮件不同，组织往往对电子邮件有安全监控工具，而社交媒体私信缺乏可见性和安全控制，这使其成为钓鱼攻击活动的有吸引力的传递渠道。"

"组织必须认识到社交媒体是初始访问的关键攻击面，并将其防御范围扩展到以电子邮件为中心的控制措施之外。"

Q&A

Q1：什么是DLL侧加载技术？为什么攻击者喜欢使用它？

A：DLL侧加载是一种攻击技术，通过利用合法进程来加载恶意DLL文件。攻击者喜欢使用这种技术是因为它可以规避安全检测，隐藏恶意活动迹象，让恶意代码看起来像是合法程序的一部分，从而降低被发现的风险。

Q2：LinkedIn钓鱼攻击是如何进行的？

A：攻击者通过LinkedIn私信接触高价值目标，先建立信任关系，然后以各种借口（如工作机会、项目评估等）欺骗受害者下载恶意文件。由于社交媒体平台的监控通常不如电子邮件严密，这种攻击方式成功率更高。

Q3：如何防范社交媒体平台上的恶意软件攻击？

A：组织需要将社交媒体视为关键攻击面，扩展防御措施不仅限于电子邮件控制。建议加强对社交媒体私信的监控，提高员工安全意识，谨慎下载陌生人发送的文件，特别是通过社交媒体渠道收到的文件。