駭客也在找工作？趨勢科技 MDR 識破假履歷，緊急攔截鎖定人資部門的 More_eggs 後門威脅！

摘要

一個精密的魚叉式網路釣魚誘餌讓企業招募人員掉入陷阱，下載並執行了一個偽裝成履歷表的檔案，導致系統感染 more_eggs 後門程式。
趨勢科技 Trend Micro MDR 團隊運用 Vision One 平台隔離了被感染的端點，並攔截了相關的入侵指標 (IoC)，有效控制住感染。
此舉充分展現了 Vision One 如何透過客製化過濾條件/模型來偵測威脅，這類模型可加入資安教戰手冊當中來自動回應警報。
我們的分析顯示，這起事件與最近一些使用 more_eggs 惡意程式的攻擊行動有關，該惡意程式是 Golden Chickens 工具套件的工具之一。

趨勢科技的一家客戶因人事部門在招募人才的過程中不小心下載了一份假履歷表，進而執行了一個惡意的 .LNK 檔案，導致電腦感染 more_eggs 惡意程式 (圖 1)。more_eggs 是一個 JScript 後門程式，屬於 Golden Chickens 惡意程式服務 (Malware-as-a-Service，簡稱 MaaS) 工具套件的工具之一。目前已知一些以賺錢為目的駭客集團 (如 FIN6 和 Cobalt Group ) 會使用此惡意程式來攻擊金融與零售產業。它會從一台固定的幕後操縱 (C&C) 伺服器下載其他惡意程式來執行，例如：資訊竊取程式和勒索病毒。

趨勢科技的 Trend Micro MDR (託管式偵測及回應) 團隊很快就發現並控制了這起威脅，並避免了可能發生的資料外洩或資料加密。

技術細節

突破防線

駭客首先假扮成一位名叫「John Cboins」的應徵者透過 Gmail 發送一封魚叉式網路釣魚郵件給受害公司的一名高階主管（圖 2），郵件內並無附件檔案或連結。經過進一步調查，我們發現有人回覆了這封信，然而接下來並未發生值得注意的事件，到這裡，我們懷疑駭客只是在試圖取得使用者的信任。

圖 2 顯示我們從客戶的 Vision One 利用以下查詢所得到的結果：

搜尋方式：電子郵件與協同作業活動資料
查詢敘述： *John Cboins*

接下來沒多久，一名招募人員用 Google Chrome 瀏覽器從某個網址下載了一份假的履歷表，檔名為「John Cboins.zip」(圖 3)。目前尚不清楚該名使用者如何取得這個網址，不過從這兩名使用者的活動可以看出該公司正在徵求一名內部銷售工程師。

圖 3 顯示我們從客戶的 Vision One 利用以下查詢所得到的結果：

搜尋方式：端點活動資料
查詢敘述： eventSubId：603 AND *John Cboins*

前述網址在我們分析的當下還可以存取，它似乎會連上一個典型的求職者個人網站 (圖 4)，甚至還內建 CAPTCHA 人機驗證測試 (圖 5)。乍看之下，這個網頁並無可疑之處，所以招募人員如果不小心的話很容易受騙上當。

執行過程

前面下載的 ZIP 檔案中含有兩個檔案：「John Cboins.lnk」和「6.jpeg」(圖 6)。

其中，LNK 檔案含有一些加密編碼的指令，這些指令會被當成參數傳給 cmd.exe 來執行 (圖 7)。當使用者點兩下 LNK 檔案時，就會執行這些加密編碼的指令。

躲避防禦

加密編碼的指令解開之後，就能清楚看到 LNK 檔案的惡意行為 (圖 8)：它會在 %windir% 目錄外面建立一個名為「ieuinit.inf」的檔案 (圖 9)，裡面含有某個腳本檔案 (SCT) 的下載位址：hxxp://36hbhv.johncboins[.]com/fjkabrhhg。此外，它也會將「ie4uinit.exe」(IE Per-User Initialization Utility) 從 %windir% 目錄複製到外面，透過 WMI 指令列工具 (WMIC) 來將它執行，並傳入「–basesettings」作為參數。ie4uinit.exe這個就地取材工具 (LOLBin) 的用法，先前已有資安研究人員詳細介紹過。

我們可從 Trend Micro Vision One™ 清楚看到「John Cboins.lnk」檔案執行後引發的一連串過程 (圖 10)。

當來自「hxxp://36hbhv.johncboins[.]com/fjkabrhhg」的 SCT 程式碼執行時，會下載「38804.dll」檔案並透過「regsvr32.exe」(Microsoft Register Server) 加以執行 (圖 11)。

圖 11：從 Vision One AMSI 監測資料可看到 SCT 程式碼的執行過程

這個 DLL 檔案負責在系統植入 more_eggs 啟動器 (D30F38D93CA9185.txt) 以及 more_eggs 後門程式 (765BBCA08C0E9CB6.txt) (圖 12)。此外，也會植入「msxsl.exe」(Microsoft Command Line Transformation Utility)，用來執行 more_eggs 後門程式 (圖 13)。

圖 12 顯示我們從客戶的 Vision One 利用以下查詢所得到的結果：

搜尋方式：端點活動資料
查詢敘述：eventSubId:101 AND processCmd:*38804.dll*

圖 12：38804.dll 建立了「D30F38D93CA9185.txt」、「765BBCA08C0E9CB6.txt」及「msxsl.exe」三個檔案

圖 13 顯示我們從客戶的 Vision One 利用以下查詢所得到的結果：

搜尋方式：端點活動資料
查詢敘述： eventSubId：2 AND （processCmd：*msxsl.exe* OR objectCmd：*msxsl.exe*）

常駐

此外，這個 DLL 檔案還會在系統登錄機碼「HKCU\Environment」底下建立常駐機制 (圖 14)。它透過「UserInitMprLogonScript」這個系統登錄數值在使用者登入系統時使用「cscript.exe」(Microsoft Console Based Script Host) 來執行 more_eggs 啟動器 (D30F38D93CA9185.txt) (圖 15)。這是 Windows 的一個老舊功能 (特別是在 Active Directory 環境)，可讓系統管理員定義一個登入腳本在使用者作業階段開始時執行。我們可在 Vision One 上面清楚看到這個行為 (圖 16)。

圖 15：more_eggs 啟動器 (D30F38D93CA9185.txt)

探索

more_eggs 後門程式 (765BBCA08C0E9CB6.txt) 首先會檢查其所在環境，看看自己是否在系統管理員或一般使用者的權限底下執行。此外，也會檢查一些項目來確定其所需的元件是否已安裝 (圖 17)。

除此之外，還會使用 WMI 來執行以下指令，進一步了解系統狀況 (圖 18)：

查看 notepad.exe 的版本。
取得系統已啟用的網路卡 IP 位址清單。
取得系統上所有執行中的處理程序清單。
取得處理程序預設的啟動組態設定。
取得有關處理程序的資訊。
執行 typeperf.exe 這個指令列效能監控程式，讓它每 120 秒檢查並擷取一次系統上有多少處理程序正在等候 CPU 時間。這 120 秒的間隔很可能是用來躲避資安防禦。

幕後操縱 (C&C)

隨後，後門程式會與其幕後操縱 (C&C) 伺服器 (hxxps://webmail.raysilkman[.]com) 通訊，它會使用 Microsoft XML (MSXML) 函式庫提供的 IServerXMLHTTPRequest2 介面 (圖 19、20)。

圖 19：透過 IServerXMLHTTPRequest2 與 C&C 伺服器通訊

Trend MDR 很快就採取回應，利用 Vision One 的端點隔離功能將被感染的端點隔離 (圖 21)。被隔離的端點，除了與 Vision One 通訊的連接埠之外，所有其他連接埠都會被封鎖，這是一種控制感染既快又有效的方式。

不僅如此，也順便將一些最初發現的入侵指標一併攔截，如此就能迅速保護其他端點，不必等到廠商正式釋出解決之道 (例如病毒碼更新) (圖 22)。

攻擊行動

More_eggs 早在 2017 年就開始出現在駭客的攻擊中，趨勢科技曾發表一份研究詳細說明駭客如何用它來攻擊俄羅斯企業，包括金融機構和採礦業。這些攻擊通常使用網路釣魚郵件搭配內含 JavaScript 和 PowerShell 腳本的惡意文件 (.doc、.xls)。

2019 年，IBM X-Force IRIS 的一份報告也提到 more_eggs 曾攻擊跨國企業，駭客利用 LinkedIn 和電子郵件發送假的聘僱邀約來誘騙企業員工，將他們引到惡意網域，這些網域存放著含有 Windows Script File (WSF) 檔案的 ZIP 壓縮檔，可用來觸發感染。

2023 年，Securonix Threat Research 的一份報告指出 more_eggs 會攻擊金融從業人員，它使用網路釣魚郵件引導受害者下載偽裝成影像檔的 ZIP 檔案來啟動感染程序。最近，在 2024 年 6 月，eSentire 的 Threat Response Unit 在一份報告中指出駭客在 LinkedIn 上偽裝成求職者，將招募人員引導到假的求職履歷網站，下載一個惡意的 LNK 檔案，進而遭到感染。

本文分析的攻擊案例似乎隸屬於某起 more_eggs 惡意程式攻擊行動，此惡意程式是 Golden Chickens 工具套件的工具之一，該工具套件是經由 Venom Spider (badbullzvenom) 這個地下惡意程式服務 (MaaS) 來散播。

不同版本的攻擊行動

根據 8 月 1 日至 9 月 10 日送交到 VirusTotal 的 LNK 檔案都有類似的行為可以看出，最近或一直以來都有使用 Golden Chickens 工具套件的攻擊行動正在進行。根據這些 VirusTotal 的樣本，我們可以看到此攻擊行動有兩種版本 (圖 23)，本文的案例似乎屬於第 2 版本，根據目前已發表的報告，兩種版本都使用了社交工程技巧。

攻擊行動第 1 版

LNK 檔案命名：通常以螢幕截圖檔案或文件檔來命名，但名稱不固定 (圖 24)。
加密編碼方式：使用字串替換的方式來加密編碼 (圖 25)，此方法會將指令的某些部分替換成預先定義的變數來建立複雜的指令。
其他腳本：攻擊過程當中還會使用其他腳本，如：PS1、VBS 等等。

另一個受害企業是一家旅館，此案例在攻擊中使用了一個 ActiveX Control 檔案「C:\Users\<user>\AppData\Roaming\64221.ocx」，比較像攻擊行動第 1 版。

攻擊行動第 2 版

LNK 檔案命名：使用人名來命名 (圖 26)。
加密編碼方式：使用變數替換的方式來加密編碼 (圖 27)，此方法會將預留位置 (placeholder) 替換成實際內容來組合成最終指令。
其他腳本：感染過程中不會使用 PS1、VBS 之類的腳本。

受害者分析

駭客瞄準的產業並不固定，但似乎都有一個共同的點：受害者通常跟金融資源有所關聯，或者擔任的職務可以讓駭客用來尋找高價值資產，或者比較可能讓駭客獲利。例如，Securonix 去年的報告分析的是攻擊行動第 1 版，瞄準的是金融業相關人士，而 IBM X-Force IRIS 和 eSentire 的報告分析的是攻擊行動第 2 版，瞄準的是跨國企業招募人員。

我們目前手上的這個案例，其受害者是工程產業人才招募主管，駭客假裝應徵一名銷售工程師，這意味著駭客瞄準的目標很可能是能夠帶來不錯獲利的職位。

另一起感染案例發生在一週後，受害者是旅館業人員，職位不明，但兩起案例都會連上類似的 C&C 基礎架構。

幕後集團

要找出這些攻擊背後的集團不是一件簡單的事，這是因為 MaaS 的特性使然，這類服務會將某些攻擊元件和基礎架構外包，所以很難確切歸諸於特定集團，因為很多集團可能都在使用像 Golden Chickens 這樣的服務所提供的工具套件和基礎架構。

不過，根據我們觀察到的攻擊手法、技巧與程序 (TTP)，有可能意味著第一起感染案例跟 FIN6 有關，因為該集團向來習慣攻擊金融機構，而且多年來也經常變換手法。近期有報告和分析指出 FIN6 已改變作風，從原本的假冒招募人員，改成假扮成求職者。儘管我們無法斷定這樣的關聯性，但第一起感染案例的手法確實符合 FIN6 的作風。

Vision One 資安教戰手冊 (Security Playbook)

儘管 more_eggs 是一個已知惡意程式，傳統惡意程式防護應該能夠應付，但駭客隨時都在想出新的感染途徑。由於企業營運需求、人為錯誤、潛在組態設定錯誤等各種因素，這類事件的發生風險永遠存在。這一點對 Trend Micro MDR 的客戶來說不成問題，因為他們有資安專家隨時在幫忙監控他們的網路。但對於無法有人整天緊盯著警報通知的情況，Vision One 的資安教戰手冊 (Security Playbook) 是個不錯的解決手段。此功能可讓客戶將各種回應動作自動化，這樣一來，客戶就可減少手動回應警報通知的時間，騰出更多時間來處理其他更重要的事務。

要建立一個自動化回應教戰手冊，您需完成以下幾項設定：

觸發方式 - 自動或手動 (從 Workbench 執行)。
目標 - 偵測模型 (一組用來偵測可疑/惡意行為的規則) 或選定的物件 (SHA-1、網址、網域、IP 位址、主機)。
動作 - 將物件加入攔截清單、隔離/刪除電子郵件、蒐集檔案、將檔案/網址送交沙盒模擬分析、終止處理程序。

在本文的案例中，其觸發方式是設定為自動或手動 (從 Workbench 執行)。這意味著，Workbench 警報可自動觸發或手動觸發教戰手冊執行。在目標部分，由於駭客很容易修改他們的惡意程式和工具套件，所以使用選定的物件效果較差，因此我們使用的是以下偵測模型 (圖 28)。

這些偵測模型會在惡意程式感染程序的後期階段被觸發：

Logon Script in UserInitMprLogonScript Registry Entry - 觸發條件：在系統登錄產生機碼來常駐系統
CScript Or JScript Set in Registry For Persistence - 觸發條件：在系統登錄產生機碼來常駐系統
[Heuristic Attribute] Possible Boot or Logon Autostart Execution - 觸發條件：在系統登錄產生機碼來常駐系統
[Heuristic Attribute] Possible Modify Registry Behavior - 觸發條件：在系統登錄產生機碼來常駐系統
•Backdoor Data Collection via JScript - 觸發條件：使用 msxsl.exe 執行 more_eggs 後門程式 (765BBCA08C0E9CB6.txt)

當然，最理想的狀況是使用能在感染初期就觸發的偵測模型，但本案例尚無適用的模型，所以我們自己建立了一個客製化偵測模型。在 Vision One 當中，過濾條件是用來指定偵測可疑/惡意行為的條件，規則是一組過濾條件的集合，至於模型則是一組規則的集合。有時候，模型可能只有一條規則或過濾條件。

因為惡意程式感染時使用了 ie4uinit.exe 這個 LOLBin 來執行特製的 ieuinit.inf，所以，我們在客製化過濾條件中設定了以下判斷條件：

[客製化過濾條件] ie4uinit.exe 被複製到 %windir% 外部 (圖 29)
[客製化過濾條件] 在 %windir% 外部建立可能惡意的 ieuinit.inf (圖 30)

圖 29：[客製化過濾條件] ie4uinit.exe 被複製到 %windir% 外部

圖 30：[客製化過濾條件] 在 %windir% 外部建立可能惡意的 ieuinit.inf

接下來，這兩個客製化過濾條件都用來當成客製化模型的條件 (圖 31)。

圖 31：[客製化模型] 在 %windir% 外部建立 more_eggs 或 ie4uinit.exe 以及 ieuinit.exe

這個客製化模型用來當成資安教戰手冊的目標 (Target) (圖 32)。當這個模型被觸發時，就會執行一組對應的行動 (圖 33)。

在動作部分，我們選擇了以下幾項：

將物件加入攔截清單
蒐集檔案
將檔案物件送交沙盒模擬分析
將網址物件送交沙盒模擬分析
終止處理程序
隔離端點

圖 34 顯示資安教戰手冊的快速總覽，其中觸發方式 (Trigger)是自動或手動，目前只有一個目標 (Target) 模型 (也就是前面建立的客製化模型) 以及一組前面設定的動作 (Action)。

我們在一個測試環境當中執行前面的 LNK 檔案來測試這個資安教戰手冊。整個教戰手冊總共花了 9 分 30 秒來完成 (圖 35)，所有的動作都執行成功 (圖 36)。

結論

這起 more_eggs 惡意程式感染事件突顯出今日的資安威脅日益精密，而且幕後集團追查起來相當複雜。我們的調查顯示，這起案例與最近使用 more_eggs 惡意程式的兩起攻擊行動其中之一很像，其攻擊手法、技巧與程序符合 FIN6 駭客集團的作風。不過，由於牽涉到惡意程式服務 (MaaS) 的關係，要準確判斷幕後的集團還是有些難度，畢竟很多駭客集團都使用了相同的服務。攻擊中使用的進階社交工程技巧，例如感染初期做得很逼真的網站，以及偽裝成履歷表的惡意檔案，都突顯出企業必須隨時保持警戒。企業得建置強大的偵測機制並培養良好的網路資安文化，才能有效對抗這些持續演變的威脅。

我們的 MDR 團隊運用 Vision One 平台阻止了這次的威脅，沒讓惡意程式進展到最後階段：竊取或加密客戶的資訊。MDR 團隊採取的手段包括將端點隔離以及主動攔截偵測到的入侵指標來降低攻擊的衝擊。

如本文中指出，客製化偵測模型也可用來進一步強化資安防禦，自動即時回應日後的攻擊。在這起事件中，Vision One 所整合的即時監控、自動化回應以及主動威脅情報，充分展現了這些功能在降低這類攻擊風險方面扮演著關鍵的角色。

Trend Vision One 威脅情報

要隨時掌握持續演變的威脅，趨勢科技客戶可從 Trend Micro Vision One 內部取得各種情報與威脅洞見。Threat Insights 可幫助客戶在威脅發生之前便提前掌握，並對新興的威脅預先做好準備。這些洞見提供了有關駭客、惡意活動及駭客技巧的完整資訊。善用這些情報，客戶就能主動採取步驟來保護自己的環境、防範風險，並且有效回應威脅。

Trend Vision One Intelligence Reports 應用程式 [IoC 掃描]

深入 Golden Chickens 工具套件：More_eggs 後門程式攻擊

Trend Vision One Threat Insights 應用程式

 新興威脅：深入 Golden Chickens 工具套件：More_eggs 後門程式攻擊

追蹤查詢

Trend Vision One 應用程式

Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標，看看是否也出現在自己的環境中。

偵測 MORE_EGGS 惡意程式

malName：*MOREEGGS* AND eventName：MALWARE_DETECTION

除此之外，Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。

入侵指標（IOC）

SHA-256 雜湊碼

入侵指標 (IoC)	偵測名稱	說明
5131dbacb92fce5a59ac92893fa059c16cf8293e9abc26f2a61f9edd		John Cboins.zip - ZIP 檔案，內含「John Cboins.lnk」和「6.jpg」
624afe730923440468cae991383dd1f7be1dadf65fa4cb2b21e3e5a9	Trojan.LNK.MOREEGGS.B	John Cboins.lnk - LNK 檔案，內含加密編碼的指令
ccf8276b55398030b6b7269136c5ee26a5c422d68793dc9ec5adee79a057c7f4		6.jpg - 加密的 JPG 檔案，可能含有加密編碼的指令
f2196309bc97e22447f6e168a9afbbb4291edd1cca51bf3789939c3618a63ec0		c:\Users\<user>\AppData\Local\Temp\ieuinit.inf - 惡意的 INF 檔案，由 ie4uinit.exe (IE Per-User Initialization Utility) 負責載入
3beda3377b060a89b41553485e06e42b69d10610f21a4a443f75b39605397271		C：\\Users\\ <user>\\AppData\\Roaming\\Adobe\\38804.dll - 惡意的 DLL 檔案，由 ie4uinit.exe 建立，並由 regsvr32.exe 負責執行
3beda3377b060a89b41553485e06e42b69d10610f21a4a443f75b39605397271		C：\\Users\\ <user>\\AppData\\Roaming\\Adobe\\39220.dll - 惡意的 DLL 檔案，由 ie4uinit.exe 建立，並由 regsvr32.exe 負責執行
d207aebf701c7fb44fe06993f020ac3527680c7fa8492a0b5f6154ca	TrojanSpy.JS.MOREEGGS.A	C：\\Users\\ <user>\\AppData\\Roaming\\Microsoft\\D30F38D93CA9185.txt - more_eggs 啟動器
17ac712a84af8e5c7906bff6e1662a5278d33fa36f1c13fcf788	TrojanSpy.JS.MOREEGGS.A	C：\\Users\\ <user>\\AppData\\Roaming\\Microsoft\\765BBCA08C0E9CB6.txt - mmore_eggs 後門程式

網址

入侵指標 (IoC)	偵測名稱	說明
hxxps：//1212055764.johncboins【.】com/some/036e91fc8cc899cc20f7e011fa6a0861/sbosf	Dangerous – Disease Vector	「John Cboins.zip」檔案的下載連結
hxxp：//36hbhv.johncboins【.】com/fjkabrhhg	Dangerous – Malware Accomplice	ie4uinit.exe 會載入此網址所指的惡意 ieuinit.inf 檔案
hxxps：//webmail.raysilkman【.】com	Dangerous – C&C Server	C&C 伺服器

電子郵件地址

入侵指標 (IoC)	說明
fayereed11@gmail【.】com	魚叉式網路釣魚郵件的來源

系統登錄

入侵指標 (IoC)	說明
HKCU\\Environment /t 1 /v userinitmprlogonscript /d cscripT -e：jsCript "%APPDATA%\\ Microsoft\\D30F38D93CA9185.txt"	用來常駐系統的系統登錄機碼，透過 regsvr32.exe 建立