駭客利用「聯絡我們」表單與偽造保密協議 鎖定製造業發動網路釣魚攻擊

Check Point 研究團隊發出警告，近期發現一起手法精密的網路釣魚攻擊，專門針對製造業及其他供應鏈核心廠商。此攻擊手法能夠規避安全防護機制，且不易被目標企業察覺。

攻擊手法：利用信任關係建立長期互動

這波攻擊最顯著的特徵是攻擊者投入大量心力建立信任，使目標企業員工深信釣魚郵件的真實性。駭客透過目標公司網站的「聯絡我們」表單主動接觸受害者，此策略不僅誘使受害者率先展開電子郵件對話，還能巧妙繞過基於信譽評級的電子郵件過濾系統。

攻擊者願意投入數天甚至數週時間，與目標對象進行看似專業且可信的對話，並要求受害者簽署保密協議（NDA）。這份文件不僅是誘餌，同時也是操控受害者的工具。

駭客團體精心挑選用於發起郵件通訊的網域，這些網域名稱多數與美國註冊的有限責任公司名稱相符，且註冊時間均超過五年。藉由這些網域良好的網路聲譽和合法的商業歷史，攻擊者能有效繞過安全過濾機制。

此外，研究人員也發現攻擊手法的新變化：駭客不再透過「聯絡我們」表單接觸，而是直接向員工發送電子郵件，聲稱正在與該企業合作進行「人工智慧影響評估」，要求收件人填寫問卷以了解 AI 如何影響工作流程。為增加可信度與緊迫感，攻擊者明確表示此為公司高層指示，暗示員工的意見將影響即將到來的重要決策。

技術分析：MixShell 後門程式的部署流程

研究人員判斷，這波攻擊是由以金錢利益為動機的駭客團體所策劃。

攻擊目的在於傳送惡意 ZIP 壓縮檔，內含可直接在記憶體執行的 PowerShell 腳本，最終部署名為「MixShell」的客製化記憶體植入後門程式。

此惡意程式主要透過 DNS TXT 通道技術進行指揮控制通訊（並使用 HTTP 連線作為備援機制），具有遠端執行指令和檔案操作的能力。當攻擊者認為已獲得目標信任後，便會誘導對方從 herokuapp.com 子網域下載惡意檔案。

由於此攻擊活動仍處於初期階段，研究人員目前無法確認新發現的攻擊變體是否使用相同的惡意程式。

攻擊目標：以美國企業為主的全球布局

在這波攻擊行動中，超過 80% 的目標位於美國，顯示出明確的地理集中性，同時也有部分企業位於新加坡、日本和瑞士。駭客鎖定了多個產業領域的組織，主要針對大型企業，但中小型企業同樣在其攻擊範圍內。

研究人員發現，無論公司規模大小，攻擊者都願意投入數週時間與受害者建立長期互動。這表明他們會根據目標的潛在價值或入侵難易度來調整攻擊策略。整體而言，從基礎設施、溝通風格到初始入侵點，所有觀察到的攻擊模式都明顯以美國為中心。

本文轉載自 HelpNetSecurity。