【安全圈】攻擊者利用偽裝成殺毒軟件的Word和PDF文檔攻擊以色列組織

關鍵詞

惡意軟件

Seqrite實驗室的安全研究人員發現了一項名為"Operation IconCat"的攻擊行動，攻擊者使用偽裝成合法安全工具的惡意文檔針對以色列組織實施攻擊。

攻擊活動概況

該攻擊始于2025年11月，已成功入侵信息技術、人力資源服務和軟件開發等多個行業的公司。攻擊的核心在于心理欺騙：攻擊者制作仿冒Check Point和SentinelOne等知名殺毒軟件廠商的虛假文檔。當受害者打開這些偽裝文件時，會在不知情的情況下下載隱藏在知名品牌背后的惡意軟件。這項行動展示了社會工程學與技術手段相結合如何繞過傳統安全防御。

雙重攻擊鏈

Operation IconCat包含兩條不同的攻擊鏈，采用相似戰術但部署不同惡意軟件變種。

第一條攻擊鏈使用PDF文件進行文檔投遞，第二條則使用包含隱藏編程代碼的Word文檔。Seqrite分析師通過分析2025年11月16日和17日來自以色列的可疑文件上傳，在第二段內容后識別出了這些惡意軟件。

第一波攻擊詳情

第一波攻擊涉及名為help.pdf的PDF文件，偽裝成Check Point安全掃描器手冊。該文檔指示用戶從Dropbox下載名為"Security Scanner"的工具（密碼為"cloudstar"），文件中包含如何運行安全掃描的詳細說明，并配有逼真的截圖。這個PDF是部署PYTRIC惡意軟件的入口點，該惡意軟件基于Python并使用PyInstaller技術打包。

PYTRIC惡意軟件能力

PYTRIC具備超出典型惡意軟件行為的危險能力。分析顯示它包含掃描整個系統文件、檢查管理員權限以及執行擦除系統數據和刪除備份等破壞性操作的功能。該惡意軟件通過名為Backup2040的Telegram機器人進行通信，使攻擊者能夠遠程控制受感染機器。這種組合表明攻擊者不僅意圖竊取信息，還計劃完全銷毀數據。

第二波攻擊詳情

第二波攻擊采用類似模式，但使用名為RUSTRIC的基于Rust語言的植入程序。魚叉式釣魚郵件冒充以色列合法人力資源公司L.M. Group，使用偽造域名l-m.co.il。郵件附件包含帶有隱藏宏的損壞Word文檔，這些宏會提取并執行最終有效載荷。

RUSTRIC展示了高級偵察能力，能夠檢測28種不同殺毒軟件的存在，包括Quick Heal、CrowdStrike和Kaspersky。通過Windows Management Instrumentation執行后，它會運行系統命令識別受感染計算機并建立與攻擊者控制服務器的連接。

安全團隊應將這兩項攻擊活動視為需要立即調查和修復的高優先級威脅。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！