Търсене
Close this search box.

Групата FIN6 е вероятният извършител на spear-phishing кампания, която демонстрира промяна в тактиката – от насочване към търсещите работа към преследване на тези, които наемат.

Дългогодишно действаща група за заплахи, известна с атаките си срещу мултинационални финансови организации, се е представяла за лица, търсещи работа, за да атакува специалисти по набиране на таланти. Методът е spear-phishing кампания, разпространяваща задната врата „more_eggs“, която е в състояние да изпълнява вторичен полезен товар от зловреден софтуер.

Изследователи от Trend Micro откриха кампания, разпространяваща задната врата JScript, която е част от набор от инструменти за зловреден софтуер като услуга (MaaS), наречен Golden Chickens, разкриват те в анализ, публикуван тази седмица, публикуван тази седмица. Те смятат, че кампанията вероятно е дело на компанията FIN6, която е известна с това, че използва backdoor, за да атакува своите жертви. От Trend Micro обаче подчертават, че характерът на зловредния софтуер, който е част от пакет MaaS, „размива границите между различните колективи“ и по този начин затруднява точното приписване.

В миналото е известно, че FIN6 се представя за служители по набиране на персонал, за да атакува търсещите работа, но изглежда, че „преминава от представянето за фалшиви служители по набиране на персонал към маскиране на фалшиви кандидати за работа“, което е промяна в тактиката, пишат изследователи от Trend Micro в публикация в блога за атаките.

Trend Micro идентифицира кампанията, когато служител, който работи като ръководител на отдел за търсене на таланти в клиент от инженерния сектор, изтегля фалшива автобиография от предполагаем кандидат за работа за позиция инженер по продажбите. Изтегленият файл е изпълнил злонамерен .lnk файл, който е довел до заразяване с more_eggs.

„Първоначално е изпратен spear-phishing имейл, за който се твърди, че е изпратен от „John Cboins“, използвайки адрес в Gmail, до висш ръководител в компанията“, пишат изследователите. Това електронно писмо не е съдържало прикачени файлове или URL адреси, а вместо това е представлявало похват за социално инженерство, демонстриращ, „че престъпникът се опитва да спечели доверието на потребителя“, пишат те.

Скоро след тази комуникация служител, отговарящ за подбора на персонал, е изтеглил това, което е трябвало да бъде автобиография, John Cboins.zip, от URL адрес с помощта на Google Chrome, въпреки че „не е установено откъде този потребител е получил URL адреса“, отбелязват изследователите.

По-нататъшното разследване на URL адреса разкри това, което изглеждаше като типичен уебсайт на кандидат за работа, който дори използва CAPTCHA тест и вероятно не би предизвикал подозрения, като по този начин е способен лесно да заблуди нищо неподозиращия служител по набиране на персонал, че си кореспондира с легитимен кандидат, казаха те.

Един и същ полезен товар, различни методи на загнездване

Различни изследователи в областта на сигурността са забелязали, че more_eggs се използва в атаки още през 2017 г. срещу различни цели, включително руски финансови институции и минни компании, както и други мултинационални организации. Както беше споменато, more_eggs е част от инструментариума Golden Chickens, който се разпространява от Venom Spider, подземен доставчик на MaaS, известен също като badbullzvenom, според Trend Micro.

Въпреки че задната врата е исторически общ знаменател за различните кампании за заплахи от Venom Spider, методите, използвани за разпространение на зловредния софтуер, са различни. Някои атаки включват фишинг схеми със злонамерени документи, които съдържат JavaScript и PowerShell скриптове, докато други използват LinkedIn и електронна поща, за да примамят служители с фалшиви предложения за работа, отвеждайки ги до злонамерени домейни, които хостват зловредни .zip файлове, отбелязват изследователите.

Нападателите са използвали и фишинг имейли, за да разпространяват .zip файлове, маскирани като изображения, за да инициират инфекция с more_eggs, докато кампания от юни отново е използвала LinkedIn, за да подмами набиращите персонал да получат достъп до сайт с фалшиви автобиографии за работа, който разпространява зловредния софтуер като зловреден .lnk файл.

Изглежда в момента има две активни кампании, разпространяващи зловредния софтуер, които са насочени към жертви, които „са на длъжности, които нападателите биха могли да използват за идентифициране на ценни активи и имат по-висок потенциал за финансова печалба“, пишат изследователите.

Предотвратяване на излюпването на „More_Eggs“

Традиционните решения за борба със зловреден софтуер трябва незабавно да открият и премахнат инфекция от more_eggs в корпоративната мрежа. Според Trend Micro обаче фактори като оперативните нужди на организацията, човешката погрешимост и потенциалните неправилни конфигурации могат да създадат риск зловредният софтуер да се изплъзне от тези инструменти.

„Използваните усъвършенствани техники за социално инженерство – като например използването на убедителен уебсайт и зловреден файл, маскиран като резюме, за да се започне заразяването – подчертават критичната необходимост организациите да поддържат постоянна бдителност“, пишат изследователите. „Задължително е защитниците да прилагат надеждни мерки за откриване на заплахи и да насърчават културата на осведоменост за киберсигурността, за да се борят ефективно с тези развиващи се заплахи.“

Trend Micro споделя в публикацията различни индикатори за компрометиране (IoC), свързани с кампаниите. Според публикацията организациите с въведени системи за управлявано откриване и реагиране (MDR) могат да ги използват за създаване на персонализирани филтри и модели, пригодени за откриване на конкретна заплаха като more_eggs, които след това могат да бъдат подадени към наръчник по сигурността за автоматизиране на отговора на сигнал.

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!