臭名昭著的 APT-C-24 威胁行为者组织（通常称为响尾蛇或响尾蛇）通过针对南亚政府、能源、军事和采矿部门部署复杂的基于 LNK 文件的网络钓鱼活动来发展其攻击方法。

自 2012 年以来，这个高级持续性威胁组织已经摆脱了对 Microsoft Office 漏洞的传统利用，而是采用了一种更隐蔽的方法，使用武器化快捷方式文件来执行远程恶意脚本。

安全研究人员最近发现的攻击样本揭示了一场精心策划的活动，受害者会收到包含三个恶意 LNK 文件的压缩档案，每个文件都设计有双重扩展名，例如“文件1.docx.lnk”、“文件2.docx.lnk”和“文件3.docx.lnk”。

这些欺骗性文件名经过精心设计，显示为合法文档文件，利用用户信任并增加执行的可能性。

攻击者改进了他们的传递机制，通过在单个包中提供多个入口点来最大限度地提高感染概率。

Ctfiot 分析师发现，这些 LNK 文件利用 Microsoft HTML 应用程序主机 （MSHTA） 程序来执行托管在远程命令和控制服务器上的恶意脚本。

远程 URL 表现出独特的模式，以参数“yui=0”、“yui=1”和“yui=2”结尾，作为每个变体的唯一标识符，同时保持所有三个文件的功能相似性。

该攻击方法展示了复杂的环境感知能力，恶意脚本在继续有效负载部署之前执行全面的系统侦察。

执行后，初始 JavaScript 组件通过 Windows Management Instrumentation （WMI） 查询系统规范来进行反分析检查，特别是检查处理器内核数量和物理内存分配，以区分真正的目标环境和安全研究沙箱。

高级规避和有效负载部署机制

该小组的技术复杂性体现在其多层混淆技术和条件有效载荷交付系统中。

初始 HTML 应用程序通过同时部署诱饵内容来执行双重功能，以维持受害者的欺骗，同时通过内存驻留的攻击组件建立持久性。

恶意脚本使用“SELECT NumberOfCores FROM Win32_Processor”查询处理器内核，并且在继续有效负载解密之前至少需要两个内核和 810MB 的物理内存。

环境检查通过验证后，该脚本将采用 Base64 解码与 XOR 加密相结合来解密并反射加载严重混淆的 C# 下载器组件。

这种复杂的有效负载执行安全软件检测，在与命令和控制基础设施建立通信之前扫描与卡巴斯基、ESET 和其他端点保护解决方案相关的进程。

攻击者通过快速轮换受感染的域并有选择地仅向满足特定目标标准的受害者提供高级有效负载来展示运营安全意识，从而使安全研究工作和威胁搜寻活动变得非常复杂。