恶意LNK文件伪装成求职简历,攻击企业员工

admin
admin
admin
0
文章
0
评论
2026-06-26 07:32:37 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 恶意LNK文件伪装成求职简历针对企业员工进行定向攻击,结合社会工程学诱骗用户打开文件。攻击采用多阶段载荷投放,通过计划任务持久化,并利用DLL侧加载执行Xctdoor后门。文档提供了检测指标如检查公共目录下的脚本文件和异常计划任务,以及缓解措施包括禁用不受信任位置的LNK执行和启用PowerShell日志记录。 综合评分: 82 文章分类: 恶意软件,社会工程学,应急响应,漏洞分析,安全运营

cover_image

恶意 LNK 文件伪装成求职简历,攻击企业员工

原创

ZM ZM

暗镜

2026年6月23日 06:00 北京

在小说阅读器读本章

去阅读

恶意 LNK 文件伪装成求职简历,被用于针对企业员工的定向攻击活动,结合社会工程学和多阶段恶意软件传播,以实现隐蔽持久化和远程访问。

攻击者精心构造文件名,其中包含公司名称和职位名称,例如 (RESUME)Domestic Company Name_Job Title***.LNK,并将看起来很真实的诱饵文档嵌入到快捷方式中。

当受害者打开文件时,诱饵文件会像预期那样打开,而隐藏的脚本和有效载荷下载器会在后台运行,从而大大降低怀疑程度,增加入侵成功的几率。

初始 LNK 执行会将多个脚本文件放入公共用户目录,通常位于 C:\Users\Public\Videos 目录下。LNK 包含嵌入式命令,这些命令会写入名称随机的批处理文件 (.bat)、PowerShell 文件 (.ps1) 和 VBScript 文件 (.vbs);然后执行 PowerShell 脚本。

该脚本注册了一个名为“office365”的计划任务,该任务的名称与合法服务类似,配置为每十分钟运行一次。

该任务执行一个 VBScript,该 VBScript 调用一个批处理文件;该批处理文件使用 curl 从外部服务器检索其他有效负载组件。

下载的多个组件以 Base64 编码的形式到达,脚本将其解码为第二阶段 PowerShell (p2.ps1),该 PowerShell 又将文件放置到启动位置并重建最终的恶意软件组件。

观察到的重建组件包括 ProximityUxHost.exe、ProximityCommon.dll、settings.dat 和 MicrosoftBing.lnk 快捷方式。

ASEC 在一份与 GBhackers 分享的报告中表示,伪装成简历的恶意快捷方式文件正在传播,企业用户需要提高警惕。

攻击者利用 DLL 侧加载漏洞,调用一个合法的可执行文件(ProximityUxHost.exe),该文件加载一个与其并排放置的恶意 ProximityCommon.dll;这使得恶意 DLL 能够在合法进程的上下文中执行。

settings.dat 文件充当了 Xctdoor 系列后门模块的一部分,该模块在本攻击活动中被发现,它会注入到合法进程中,并与远程命令和控制服务器建立通信。

这种分层方法(诱饵文档用于安抚用户、基于脚本的暂存、计划任务持久性、启动注册和DLL 侧加载访问)使得检测和修复比单文件威胁更加困难。

招聘、人力资源、销售和客户支持团队尤其面临风险,因为他们的工作流程包括接收和打开未经请求的简历和附件。

检测和补救措施应同时关注安全漏洞指标和行为异常。

安全团队必须审核任务计划程序,查找可疑或命名错误的任务(例如,“office365”运行脚本或非标准可执行文件),检查启动项和公共用户目录,查找 C:\Users\Public\Videos\ 和 C:\Users\Public\Pictures 下新创建的脚本,并在用户配置文件中搜索非典型的 AppData 或包路径中的 ProximityCommon.dll、settings.dat 和 MicrosoftBing.lnk。

端点检测应标记从公共目录或用户可写目录启动的进程、将意外的 DLL 加载到合法二进制文件中,以及写入可执行文件或解码 Base64 有效负载的 PowerShell 或 cURL 活动。

缓解措施包括强制执行严格的附件策略,通过组策略或 AppLocker 规则禁用从不受信任的位置执行 LNK 文件,以及启用 Windows Defender Exploit Guard 和 AMSI/PowerShell 脚本阻止日志记录,以捕获和阻止内存中的脚本活动。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《恶意 LNK 文件伪装成求职简历,攻击企业员工》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
菖蒲映碧水,端午寄清欢 网络安全文章

菖蒲映碧水,端午寄清欢

文章总结: 安在企业推出全生命周期网络安全会员服务,提供安全意识宣传、培训体系、效果检验、专业社区及评奖支持等一站式解决方案,助力企业根据规模和安全水平匹配五级
06-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0