MURKYTOUR 后门如何瞄准求职者

2024年10月，一场极具针对性且伪装巧妙的网络攻击活动浮出水面，揭露了名为“MURKYTOUR”的隐秘后门的部署。此次行动由威胁情报公司Mandiant揭露，凸显了与国家结盟的行为体不断演变的策略，以及他们专注于将欺骗作为数字战场的主要工具。

此次攻击活动被归咎于一个名为 UNC2428 的组织，该组织是一个与伊朗利益相关的网络威胁行为者。他们的做法并非普通的钓鱼邮件，而是一种细致入微、极具欺骗性的社会工程策略，利用虚假的工作机会来引诱毫无戒心的个人，尤其是在以色列。

MURKYTOUR 是什么？

MURKYTOUR 是一种后门程序，它是一种恶意软件，允许在用户不知情的情况下未经授权访问和控制设备。在本例中，它是在受害者进行看似合法的求职申请流程后悄悄安装的。攻击者伪装成一家信誉良好的以色列国防公司 Rafael，邀请求职者通过一个虚假的在线平台提交他们的简历。

当受害者下载并启动伪装成“RafaelConnect.exe”的安装程序时，他们会看到一个看似专业的界面，旨在赢得他们的信任。该应用程序实际上是一个名为“LONEFLEET”的诱饵安装程序，要求用户输入个人信息并上传简历。然而，在幕后，另一个名为“LEAFPILE”的工具触发了“MURKYTOUR”的隐秘部署，使攻击者能够长期访问受害者的计算机。

这为什么重要？

MURKYTOUR 后门不仅仅是一个恶意软件，它象征着网络间谍活动在心理层面上已经变得更加复杂。像 UNC2428 这样的攻击者并非采用直接攻击手段，而是利用社会工程学——操纵人们做出他们通常不会做的事情——来悄悄地入侵系统。

此类策略的影响范围广泛。通过求职诱饵锁定个人，攻击者可以诱骗与这些网络相关的员工或求职者，从而进入敏感组织内部。一旦获得访问权限，恶意行为者就可以收集情报、窃取机密数据或为进一步渗透做准备。

更广泛的战略

MURKYTOUR 并非孤立部署。它是 Mandiant 发现的 20 多种恶意软件之一，这些恶意软件在 2024 年期间被与伊朗相关的威胁行为者使用。这项更广泛的行动还包括 UNC3313 和APT42等组织，他们同样专注于社会工程学、鱼叉式网络钓鱼以及滥用合法软件工具来逃避检测。

例如，UNC3313 利用培训和网络研讨会主题来引诱受害者，并通过用户熟悉的文件共享平台传播恶意软件。与此同时，APT42 则专注于模仿谷歌和微软等主流网络服务来获取凭证。这些策略揭示了一种模式：与伊朗结盟的网络运营商正在使用逼真且令人信服的模仿手段来绕过传统的安全防御措施。

此外，云基础设施已成为指挥与控制操作的首选环境。通过将活动隐藏在企业常用的平台中，攻击者使安全团队更难以检测到异常行为。

对个人和组织的影响

MURKYTOUR 事件警示我们，必须时刻保持警惕，尤其是在一些看似平常的场合——比如求职。网络攻击者越来越多地将目标锁定在人为安全层面，因为他们知道这往往是最薄弱的环节。

对于组织而言，这不仅仅意味着部署防病毒软件或防火墙。它要求对员工进行持续的教育和意识培训，尤其是在国防、医疗、金融和科技等经常受到民族国家行为者攻击的领域。

招聘和人力资源流程也正成为网络防御中意想不到的前沿阵地。公司需要验证第三方求职平台的真实性，并监控冒充行为。同样，潜在求职者也应警惕意外的招聘信息，并通过公司官方网站核实招聘信息。

最后的想法

MURKYTOUR 活动堪称现代网络间谍活动的典型案例。它巧妙地将技术实力与心理操控相结合，利用信任和常规流程来获取立足点。随着网络威胁的不断演变，了解此类活动对于预测以民族国家名义开展活动的威胁行为者的下一步行动至关重要。

最好的防御措施？意识、警惕，以及适度的怀疑——尤其是当提议好得令人难以置信的时候。