آزمایشگاههای تحقیقاتی و اطلاعاتی Cyble (CRIL) روند قابلتوجهی را مشاهده کردهاند که در آن عوامل تهدید (TAs) به طور فزایندهای از فایلهای LNK به عنوان ناقل آلودگی اولیه در کمپینهای متعدد استفاده کردهاند.
این فایلهای میانبر مخرب که اغلب به عنوان اسناد قانونی پنهان میشوند، به یک نقطه ورودی ترجیحی برای نفوذگرانی تبدیل شدهاند که به دنبال به خطر انداختن سیستمها هستند. هدف این تغییر تاکتیک دور زدن مکانیسمهای امنیتی سنتی و فریب کاربران جهت اجرای فایل مخرب LNK است، در نتیجه یک حمله سایبری چند مرحلهای برای استقرار پیلود نهایی آغاز میشود. در این کمپینها، فایلهای LNK با دقت ساخته میشوند تا دستورات را با استفاده از چندین باینری Living-off-the-land (LOLBins) اجرا کنند.
با بهرهبرداری از عملکردهای ذاتی این باینریها، نفوذگران میتوانند مؤلفههای مخرب اضافی را دانلود یا اجرا کنند و در نتیجه زنجیره حمله خود را پیش ببرند. در حالی که راهحلهای مدرن تشخیص و پاسخ نقطه پایانی (EDR) برای شناسایی چنین فعالیتهایی با نظارت بر رفتار فایلهای LNK و پرچمگذاری استفاده مشکوک از باینریهای شناختهشده LOLBin تکامل یافتهاند، این امر باعث شده تا عوامل تهدید تکنیکهای خود را برای دور زدن این اقدامات امنیتی پیشرفته اصلاح کنند.
https://cyble.com/blog/a-stealthy-playbook-for-advanced-cyber-attacks/