關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
顯示分類
2026.01.23
事件與威脅/資訊安全
駭客利用LinkedIn私訊和PDF工具部署木馬程序
研究背景與攻擊趨勢綜述

在當前高度數位化的商業環境中,LinkedIn 等專業社群平台已成為高階經理人與企業決策者交流的核心樞紐。然而,這種高度信任的環境正成為資安防禦的窪地。ReliaQuest 威脅研究公司在 LinkedIn 上發現了一種新的網路釣魚活動,該活動誘騙專業人士下載惡意檔案。攻擊者利用 DLL 側載入技術,將病毒隱藏在合法的 PDF 閱讀器和 Python 腳本中,從而繞過安全防護。這種攻擊趨勢反映出威脅行為者已從單純的技術破壞,轉向精密的心理博弈,並結合開源工具的合法性遮掩惡意行為。


社交工程的演化:從單點突破到長期信任建立

根據 ReliaQuest 威脅研究部門的調查,這種攻擊並非始於電腦病毒,而是始於對話。駭客會花時間與高層人士交談,以建立信任感。這種行為模式顯著不同於傳統的大規模電子郵件釣魚(Mass Phishing),而是更接近於「獵鯨攻擊」(Whaling)。研究人員在部落格文章中解釋道:一旦目標人物感到放心,攻擊者就會「誘騙他們下載惡意 WinRAR 自解壓縮文件,這本質上是一個會自動打開的數位資料夾」。

眾所周知,大多數人不會懷疑透過 LinkedIn 等專業網站發送的文件是詐騙文件。為了讓騙局更具迷惑性,駭客會使用「Project_Execution_Plan.exe」或「Upcoming_Products.pdf」之類的名稱,使其看起來像是一份普通的工作文件。這種針對職務內容量身打造的文件名稱,極大化地利用了受害者的好奇心與職務責任感。


技術隱匿機制:合法工具與 DLL 側載入的結合

本次攻擊的核心技術亮點在於「DLL 側載入」(DLL Side-loading)。這並非一個單獨的文件,而是一個包含四個不同文件的捆綁包,其中包括一個真正的、可運行的 PDF 閱讀器、一個隱藏的 DLL(動態鏈接庫)文件、一個便攜版的 Python 以及一個誘餌 RAR 文件,以使一切看起來合法。

當受害者啟動看似無害的執行檔時,合法的 PDF 閱讀器程序會被引導載入同目錄下的惡意 DLL 檔案。由於執行主體是具有數位簽章或廣泛認可的合法應用程式,傳統的端點偵測與回應(EDR)系統往往會將其視為安全行為而予以放行。這種利用合法軟體載入惡意代碼的方式,有效規避了靜態掃描與行為分析的層層防禦。


技術門檻的降低與防禦機制的缺失

這些攻擊之所以成功,是因為它們不需要複雜精巧的程式碼,而是利用人們的好奇心和企業難以屏蔽的開源工具。Python 作為全球廣泛使用的開發語言,其便攜版本被惡意利用,使得攻擊者能在目標環境中執行複雜的後續指令,而無需在目標機器上預先安裝環境。

社群媒體平台目前缺乏像保護電子郵件收件匣那樣強大的安全過濾機制,這使得大多數企業面臨安全漏洞。Sectigo 高級研究員 Jason Soroko 表示:這裡的創新之處不在於技術實現,而在於用於傳遞惡意載荷的社會工程手段。這些攻擊者沒有依賴普通的電子郵件釣魚,而是通過 LinkedIn 上的直接消息來建立與高價值目標的信任。這種防禦漏洞源於企業資安邊界在社群通訊軟體上的延伸不足,導致內部員工在面對私訊文件時防備心降低。


供應鏈與外包工具利用之深度分析

此次事件中,攻擊者利用了 WinRAR 與 PDF 工具的普適性。這些工具在企業內部被視為日常必備,因此其異常行為容易被淹沒在海量的系統日誌中。DLL 側載入技術的成功,本質上是利用了 Windows 系統搜尋 DLL 的優先順序邏輯。當駭客將惡意 DLL 放置於應用程式同路徑下時,應用程式會優先加載該文件而非系統目錄下的標準 DLL。

透過便攜版 Python 腳本的引入,攻擊者可以靈活地進行資訊搜集、持久化(Persistence)建置以及遠端命令與控制(C2)通訊。這顯示出威脅行為者正在將複雜的網路戰術簡化,利用企業既有的行政流程與常用軟體作為掩護。


企業端與專業個人的風險管理策略

面對此類高度精密的社交工程攻擊,企業必須重新評估其對於 LinkedIn 等社群平台的管控政策。除了傳統的防火牆與端點防護外,更應強調「人的防線」。組織應建立明確的溝通準則,規範員工不應在未經核實的情況下,透過社群平台直接接收與開啟不明執行檔或壓縮包。

技術層面上,企業應加強對 DLL 載入行為的監控,並針對非標準路徑下的可執行文件活動進行嚴格審查。針對高階決策者,應提供更高強度的資安覺察教育,讓其理解「長期對話」與「建立信任」亦可能是攻擊鏈的一部分。


未來威脅演變之總結展望

LinkedIn 釣魚事件並非孤立個案,而是代表了攻擊模式的轉向。隨著 AI 技術的成熟,未來的對話建立階段可能會由 LLM(大型語言模型)代勞,使駭客能同時對數千個高價值目標進行高度客製化的社交工程接觸。

建議企業在面對此类「以合法掩飾非法」的攻擊時,應建立「零信任」的通訊觀念,不僅限於企業內部網路,更應擴展至第三方社群溝通。唯有結合行為偵測技術與深層的員工資安防禦文化,才能在技術防禦存在盲區的社群平台環境中,有效抵禦新型態木馬的滲透。


原文連結:https://hackread.com/hackers-linkedin-dms-pdf-tools-trojan/
 
探討 ReliaQuest 揭露之 LinkedIn 新型攻擊活動,駭客透過高度客製化社交工程建立信任,利用合法 PDF 閱讀器與 DLL 側載入技術規避偵測。