针对酒店行业的“照片 ZIP”攻击活动投放 Node.js 植入体以实现持久化访问

针对酒店行业的“照片 ZIP”攻击活动投放 Node.js 植入体以实现持久化访问

导语:Microsoft 威胁情报中心披露了一起针对欧洲和亚洲酒店行业组织的多阶段入侵活动,攻击者通过以照片为主题的 ZIP 压缩包和伪装图像快捷方式文件投递持久化的 Node.js 植入体,并滥用 Calendly 和 Google 等合法服务绕过电子邮件身份验证。

Microsoft 威胁情报中心(Microsoft Threat Intelligence)发现了一起自 2026 年 4 月以来针对酒店和住宿行业的活跃多阶段入侵活动。我们通过多个欧洲和亚洲组织的聚合威胁情报和安全信号观察到了这一活动。Microsoft 尚未将该活动归因于任何已知威胁行为者。

该活动使用以照片为主题的 ZIP 压缩包,目标用户通过浏览器下载这些压缩包。这些压缩包内含伪装的图像快捷方式文件,当用户点击后会触发攻击链,其依赖混淆的 PowerShell、基于 Node.js 的植入体、双注册表持久化以及通过非标准端口进行的命令与控制(C2)通信。截至本文撰写时,该活动在被攻陷后的活动包括 C2 通信回连(beaconing)、强制关机以及对便携式可执行(PE)载荷的编译。虽然该活动的最终目标尚不明确,但威胁行为者在混淆与持久化方面的投入表明,他们可能正在为受害设备准备更多的后续活动。

在 2026 年 5 月末,我们观察到威胁行为者滥用合法服务——包括云端日程安排平台 Calendly 的电子邮件通知基础设施以及 Google 的 URL 重定向功能——来投递带有多种语言诱饵和主题(例如客人投诉和房间咨询)的钓鱼邮件,诱使酒店员工点击嵌入的恶意链接并下载 ZIP 压缩包。这些钓鱼邮件试图通过一种我们称之为“身份验证洗白”(authentication laundering)的技术绕过传统的身份验证检查:通过受信服务的发送基础设施中转钓鱼消息,威胁行为者可以使恶意邮件对电子邮件身份验证防御看起来与合法通知相似。

原文配图

我们观察到该活动分两个明显阶段演进。第一阶段(下文称为 Wave 1)使用的快捷方式文件命名为 IMG-<随机数字>.png.lnk,而第二阶段(Wave 2)则将命名变更为 PHOTO-<随机数字>.png.lnk。Wave 2 还引入了一个新的攻击链阶段,其中 PowerShell 下载器通过 csc.exe 触发动态的 .NET DLL 编译,并且攻击者将其域名基础设施扩展到托管在 Cloudflare 后面的 .cfd 域名。

本博文总结了该活动 Wave 1 和 Wave 2 的攻击链,并提供了 Microsoft Defender 的检测与建议。其目的是分享威胁情报,以帮助组织更好地理解、识别和防御类似的攻击技术。所描述的活动反映了我们观察到的模式与行为,并被提供以支持防御性安全工作。

原文配图

该活动遵循一个多阶段攻击链,整体行为上的变化有限,尽管行为者在各阶段之间改变了 PowerShell 混淆方式和投递细节。

活动始于投递一个通过浏览器下载的压缩包,文件名采用 photo-<随机数字>.zip 的模式。在一次观察到的活动中,指向这些压缩包的链接是通过钓鱼邮件投递的。我们评估认为,这种文件命名方式旨在显得普通但与酒店工作流相关,而酒店行业通常会交换客人照片、预订相关图像或文档快照。

在 Wave 1 中,压缩包内含一个名为 IMG-<随机数字>.png.lnk 的伪图像快捷方式,它伪装为 PNG 文件,但实际上是可执行内容。在 Wave 2 中,威胁行为者将命名变更为 PHOTO-<随机数字>.png.lnk(大写 PHOTO 前缀)。成功执行依赖于目标用户打开看似图像的文件。

原文配图

下表列出了在两个活动阶段中受影响环境内观察到的代表性投递工件。LNK 文件的大小始终落在 1,989 至 2,079 字节之间,这表明使用了相同的构建工具。

观察到的受害设备命名模式(包括与前台接待及前厅相关的系统以及以酒店命名的设备),证实了威胁行为者聚焦于在日常运营中会与图像或文档附件交互的员工。受影响环境中观察到的部分用户账户名包含以下字符串,这些字符串涉及英语、法语、波兰语、捷克语和西班牙语中的词汇。

原文配图

自 2026 年 5 月末起,我们观察到该活动的初始访问机制还滥用合法 Web 服务以绕过电子邮件身份验证控制,并模糊钓鱼链接的真实目的地。此观察结果与其他安全研究人员此前发布的研究结果相一致。

威胁行为者使用 Calendly 的电子邮件通知系统和 Google 的 URL 重定向功能来构建一个多跳投递链,其中直接的 Calendly 路径能够通过发件人策略框架(SPF)、域名密钥识别邮件(DKIM)以及基于域的消息认证、报告和一致性(DMARC)检查。

在所有观察到的邮件中,发件人显示名称均为“Booking Manager (via Calendly)”,这是一种社会工程选择,似乎旨在利用酒店员工对预订和工作流安排的熟悉感。

原文配图

在中转的消息中,Microsoft 观察到以下一小组以日语、丹麦语和荷兰语投递的反复出现的社会工程主题。

这些诱饵内容刻意保持通用且非个性化:每个主题都引用一个匿名的“客人”、“设施”或“您的住宿”,且没有包含收件人姓名、客人姓名或组织名称。这与大批量、基于名单的分发方式一致,而非定制化的鱼叉式钓鱼。威胁行为者借助紧迫感和声誉压力(投诉、“最后警告”、卫生部门检查、可能暂停营业)来促使酒店员工点击。

原文配图

按语言列出的钓鱼诱饵主题及其观察到的流行程度。

威胁行为者在所有三种语言中重复使用相同的主题,其中日语最为普遍。值得注意的是,某些主题中出现了未填写的模板占位符——例如丹麦语变体中的一个字面 ID 令牌——这表明是自动化的、模板化的生成方式。

Calendly 通知基础设施被用作钓鱼中继。


来源信息

来源:Microsoft Security Blog

原文链接:https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers-node-js-implant-persistent-access/

作者:Microsoft Defender Security Research Team, Microsoft Defender Experts and Parth Jomadkar