MURKYTOUR 後門如何瞄準求職者

2024 年 10 月，一場高度針對性且巧妙偽裝的網路活動出現，揭示了名為MURKYTOUR的隱形後門的部署。威脅情報公司 Mandiant 揭露的這項行動凸顯了與國家結盟的行動者不斷演變的策略，以及他們將欺騙作為數位戰場的主要工具。

這次攻擊活動被歸咎於一個名為 UNC2428 的組織，這是一個與伊朗利益一致的網路威脅行為者。他們的方法不僅僅是另一種網路釣魚電子郵件，而是一種細緻入微且極具欺騙性的社會工程策略，提供虛假的工作機會來引誘毫無戒心的個人，尤其是在以色列。

MURKYTOUR 是什麼？

MURKYTOUR 是一種後門，是一種允許在使用者不知情的情況下未經授權存取和控制設備的惡意軟體。在這種情況下，受害者在參與了看似合法的求職流程後，該惡意軟體就被悄悄安裝。攻擊者偽裝成以色列知名國防公司拉斐爾 (Rafael)，邀請求職者透過虛假的線上平台提交他們的資歷。

當受害者下載並啟動偽裝成「RafaelConnect.exe」的安裝程式時，他們會看到一個旨在贏得他們信任的專業介面。該應用程式實際上是一個名為LONEFLEET的誘餌安裝程序，它要求用戶輸入個人資訊並上傳簡歷。然而，在幕後，另一個名為LEAFPILE的工具觸發了 MURKYTOUR 的秘密部署，使攻擊者能夠長期存取受害者的電腦。

這為什麼重要？

MURKYTOUR 後門不僅僅是一種惡意軟體，它還是網路間諜活動在心理上變得更加複雜的象徵。像 UNC2428 這樣的犯罪分子並沒有使用直接的暴力手段，而是利用社會工程學（操縱人們做出他們通常不會做的事情）來悄悄地破壞這個系統。

這種策略的影響是深遠的。透過工作誘餌瞄準個人可以讓攻擊者透過欺騙與這些網路相關的員工或求職者進入敏感組織內部。一旦獲得存取權限，惡意行為者就可以收集情報、竊取機密資料或準備進一步滲透。

更廣泛的戰略

MURKYTOUR 並不是單獨部署的。它是 Mandiant 發現的 20 多種惡意軟體之一，這些惡意軟體在 2024 年期間被與伊朗相關的威脅行為者使用。這項更廣泛的行動包括 UNC3313 和APT42等組織，他們同樣專注於社會工程、魚叉式網路釣魚和濫用合法軟體工具來逃避偵測。

例如，UNC3313 使用培訓和網路研討會主題來吸引受害者，並透過熟悉的文件共享平台傳播惡意軟體。同時，APT42 專注於模仿Google和微軟等主要網路服務來取得憑證。這些策略揭示了一種模式：與伊朗結盟的網路營運商正在使用逼真且令人信服的模仿來繞過傳統的安全防禦。

此外，雲端基礎設施已成為指揮和控製作業的首選環境。透過將他們的活動隱藏在企業常用的平台中，攻擊者使得安全團隊更難偵測到異常行為。

對個人和組織的影響

MURKYTOUR 事件清楚地提醒我們，必須保持警惕，特別是在一些看似常規的情況下——例如申請工作。網路攻擊者越來越多地將目標瞄準人為安全層，因為他們知道這往往是最薄弱的環節。

對組織來說，這不僅僅意味著部署防毒軟體或防火牆。它呼籲對員工進行持續的教育和意識培訓，特別是在國防、醫療保健、金融和技術等經常受到民族國家行為者攻擊的領域。

招募和人力資源流程也正在成為網路防禦中意想不到的前線。公司需要驗證第三方求職平台的真實性並監控冒充行為。同樣，潛在申請人應警惕意外的招聘信息，並透過公司官方網站核實招聘信息。

最後的想法

MURKYTOUR 活動是現代網路間諜活動的典型案例。它將技術實力與心理操縱相結合，利用信任和常規流程來站穩腳跟。隨著網路威脅不斷演變，了解此類活動對於預測代表民族國家行動的威脅行為者的下一步行動至關重要。

最好的防守？意識、警覺和適度的懷疑態度——尤其是當提議看起來好得令人難以置信時。