آزمایشگاههای تحقیقاتی و اطلاعاتی Cyble، یک کمپین مخرب را شناسایی کرد که با استفاده از تزریق فرآیند برای تحویل Lumma Stealer و Amadey Bot (از طریق فایل LNK فریبدهنده در پوشش فایل PDF)، صنایع تولید را هدف قرار میداد.
این کمپین به منظور دور زدن مکانیسمهای امنیتی سنتی از چندین باینری Living-off-the-Land (LOLBins) مانند ssh.exe، powershell.exe و mshta.exe استفاده کرد تا پیلود مرحله بعدی را از راه دور اجرا کند. همچنین از نشانی اینترنتی Accelerated Mobile Pages (AMP) گوگل همراه با URL کوتاه شده برای فرار از شناسایی توسط اسکنرهای URL سنتی استفاده شده است. زنجیره حمله از بارگذاری جانبی DLL و IDATLoader برای استقرار Lumma stealer و ربات Amadey استفاده و مهاجم را قادر به اخذ کنترل سیستم و استخراج اطلاعات حساس از دستگاه قربانی میکند.
https://cyble.com/blog/threat-actor-targets-manufacturing-industry-with-malware/
