黑客伪造保密协议，向美国制造商投递恶意软件

网络安全研究人员发现，黑客正通过滥用企业官网“联系我们”表单，向美国工业及科技公司投递伪装成保密协议文件的恶意软件。与传统钓鱼攻击不同，黑客首先通过企业官网表单联系受害者，使后续通信更具可信度。

黑客假扮潜在商业伙伴，与目标企业进行长达两周的沟通，要求受害者签署保密协议。最终发送的合同文件托管在合法云平台Heroku上，实际为包含定制化恶意软件MixShell的ZIP压缩包。研究人员指出：“这种长期互动表明攻击者愿意投入时间，可能根据目标价值或入侵难度调整策略”。

约80%的受害者位于美国，主要为工业机械、金属加工及零部件制造商。半导体、生物技术、制药、航空航天、能源及消费品行业企业同样遭袭，新加坡、日本和瑞士亦有企业受害。

值得注意的是，并非所有ZIP文件均含恶意代码——部分仅包含无害文档。这表明黑客可能根据受害者IP地址、浏览器特征等条件，在Heroku平台选择性投放真实恶意负载。

为增强可信度，攻击者使用注册于美国的真实企业域名（部分可追溯至2015年）。这些域名对应的网站实为统一模板生成的虚假页面，“关于我们”栏目均使用同一张白宫管家照片冒充公司创始人。凭借长期存在的域名信誉，攻击者成功绕过安全过滤系统。

尽管尚未锁定具体攻击组织，但Check Point发现某台服务器与黑客组织UNK_GreenSec的基础设施存在重叠。该组织此前曾显现与俄罗斯背景黑客的关联迹象，研究人员判断此次攻击主要出于经济利益驱动。

消息来源： therecord；

本文由 HackerNews.cc 翻译整理，封面来源于网络；