骇客从事网路攻击的过程里,滥用开源的渗透测试工具的情况越来越常见,并且使得防守者识别攻击行为难度随之提升,甚至可能会无法与合法的渗透测试行为进行区别。
例如,资安业者HarfangLab在调查锁定以色列政府、企业组织的攻击行动过程里,针对上述的攻击行动,研究人员怀疑是资安人员的渗透测试所致,但由于相关的攻击基础设施并未与市面上的渗透测试业者有关,因此他们认为应该向资安社群公布相关发现。
究竟对方如何发起攻击?研究人员在其中2起发生在2023年11月的攻击行动里,发现对方疑似透过特别制作的WordPress网站,散布VHD虚拟磁碟档案格式作为初始的有效酬载,骇客使用偷渡式下载(Drive-by Download)的手法,将VHD档植入受害电脑。
一旦使用者将VHD档案挂载,就会在磁区看到Windows捷径档案(LNK),该档案含有看似图片的图示,开启后就会执行设为隐藏属性的HTML应用程式档案(HTA),显示诱饵图片降低使用者的戒心,并启动第一阶段的恶意程式。
这个图片内容含有以色列经济及工业局的图标,并以希伯来文写著:假期惊喜!抱歉,你没有赢。