استفاده روزافزون نفوذگران از دستورات SSH در فایل‌های میانبر (LNK) 

security news

آزمایشگاه‌های تحقیقاتی و اطلاعاتی Cyble (CRIL) روند قابل‌توجهی را مشاهده کرده‌اند که در آن عوامل تهدید (TAs) به طور فزاینده‌ای از فایل‌های LNK به عنوان ناقل آلودگی اولیه در کمپین‌های متعدد استفاده کرده‌اند.

این فایل‌های میانبر مخرب که اغلب به عنوان اسناد قانونی پنهان می‌شوند، به یک نقطه ورودی ترجیحی برای نفوذگرانی تبدیل شده‌اند که به دنبال به خطر انداختن سیستم‌ها هستند. هدف این تغییر تاکتیک دور زدن مکانیسم‌های امنیتی سنتی و فریب کاربران جهت اجرای فایل مخرب LNK است، در نتیجه یک حمله سایبری چند مرحله‌ای برای استقرار پیلود نهایی آغاز می‌شود. در این کمپین‌ها، فایل‌های LNK با دقت ساخته می‌شوند تا دستورات را با استفاده از چندین باینری Living-off-the-land (LOLBins) اجرا کنند.

با بهره‌برداری از عملکردهای ذاتی این باینری‌ها، نفوذگران می‌توانند مؤلفه‌های مخرب اضافی را دانلود یا اجرا کنند و در نتیجه زنجیره حمله خود را پیش ببرند. در حالی که راه‌حل‌های مدرن تشخیص و پاسخ نقطه پایانی (EDR) برای شناسایی چنین فعالیت‌هایی با نظارت بر رفتار فایل‌های LNK و پرچم‌گذاری استفاده مشکوک از باینری‌های شناخته‌شده LOLBin تکامل یافته‌اند، این امر باعث شده تا عوامل تهدید تکنیک‌های خود را برای دور زدن این اقدامات امنیتی پیشرفته اصلاح کنند.

https://cyble.com/blog/a-stealthy-playbook-for-advanced-cyber-attacks/