随着数字化进程的加快,网络安全威胁也日益升级,尤其在关键基础设施和高科技行业中表现尤为突出。最近,安全研究机构Check Point公布报告称,怀疑由伊朗政府支持的黑客组织正在对欧洲的航天航空、防务制造、电信等多个重要行业发起新一轮网络攻击。此次行动不仅采用了模拟求职招聘的钓鱼诈骗手法,还引入了此前未见的新型恶意软件,加大了攻击的隐蔽性和破坏性。攻击者以虚假招聘门户网站为诱饵,针对丹麦、葡萄牙和瑞典等西欧国家的航天及相关行业企业。攻击背后的组织被Check Point称为Nimbus Manticore,也被谷歌称为UNC1549,微软称为Smoke Sandstorm,而Facebook则曾将其与伊朗伊斯兰革命卫队相关联。其实,这一行动可以视为"伊朗梦之职"攻击活动的延续,其借鉴了朝鲜黑客组织Lazarus的"梦之职"行动,暗示了敌对国家间或存在技术与策略的交流。
攻击的方式主要以钓鱼邮件为切入点,邮件中包含针对具体受害者定制的登录链接,诱导其访问仿冒知名航空制造及防务公司的网站,如波音、空中客车、莱茵金属及Flydubai。受害者输入本应用于求职的信息后,假登录页面返回一个伪装成聘用流程相关软件的恶意压缩包,内含MiniJunk后门程序以及MiniBrowse信息窃取器。两个恶意软件均属于Minibike家族的新变种,以其高隐蔽性、强大的反检测能力而著称,采用了混淆、代码膨胀和数字签名等技术降低安全软件的检测效率。攻击链中最令人关注的是多阶段的DLL劫持技术。具体而言,受害者首先运行压缩包中的合法Windows可执行文件,这个程序侧加载(sideload)同目录下的userenv.dll。随后,userenv.dll调用系统低级API,执行Windows Defender中一个存在路径遍历漏洞的程序SenseSampleUploader.exe。
该漏洞使得系统在加载动态链接库时优先加载恶意的xmllite.dll,而非合法同名文件。攻击者利用这一机制将恶意DLL加载入受害者设备,随后启动MiniJunk后门,运行期间还会向受害者显示伪造的网络错误弹窗,掩盖攻击行为。MiniJunk后门被设计为长时间隐秘存在,确保攻击组织能持续访问目标网络,窃取有价值的数据或者为后续攻击铺路。MiniBrowse窃取器则重点捕获浏览器的用户凭证、Cookie及其他敏感信息,从而完成对目标网络的情报收集。此次攻击显示出攻击者在技术上的显著提升,包括首次运用改变进程执行参数以载入DLL的手法,强化了攻击的隐蔽性和成功率。此外,攻击还表现出明显针对西欧特定国家与行业的精准打击趋势,表明攻击者对情报收集和攻击资源的投入加大。
针对这一威胁,相关企业应高度警惕求职招聘环节的安全风险,尤其是在敏感行业部署更严格的邮件过滤及身份验证机制。建议及时更新并强化防病毒与防御软件,重点监控DLL劫持及Windows Defender可疑行为。员工安全意识培训亦不可忽视,尤其在面对陌生求职邀请及软件安装请求时应保持警惕。行业监管机构和安全团队需通过情报共享和协同防御提升整体安全态势感知能力,防止攻击进一步扩大影响。随着网络战线的日益复杂,国家支持的黑客组织将持续利用新兴技术与策略,针对重点行业发起频繁而隐蔽的攻击。企业和安全研究者必须密切关注威胁演变,提前部署多层防御体系,综合运用技术、管理与人员培训手段,提高防御效能。
展望未来,加强国际合作及法律打击力度亦是遏制此类跨国网络犯罪的关键路径。通过全方位提升网络防御能力,航天航空领域及相关高科技产业才能有效保障自身技术和信息资产安全,支持国家经济和国防现代化进程。 。
