Групата FIN6 е вероятният извършител на spear-phishing кампания, която демонстрира промяна в тактиката – от насочване към търсещите работа към преследване на тези, които наемат.
Дългогодишно действаща група за заплахи, известна с атаките си срещу мултинационални финансови организации, се е представяла за лица, търсещи работа, за да атакува специалисти по набиране на таланти. Методът е spear-phishing кампания, разпространяваща задната врата „more_eggs“, която е в състояние да изпълнява вторичен полезен товар от зловреден софтуер.
Изследователи от Trend Micro откриха кампания, разпространяваща задната врата JScript, която е част от набор от инструменти за зловреден софтуер като услуга (MaaS), наречен Golden Chickens, разкриват те в анализ, публикуван тази седмица, публикуван тази седмица. Те смятат, че кампанията вероятно е дело на компанията FIN6, която е известна с това, че използва backdoor, за да атакува своите жертви. От Trend Micro обаче подчертават, че характерът на зловредния софтуер, който е част от пакет MaaS, „размива границите между различните колективи“ и по този начин затруднява точното приписване.
В миналото е известно, че FIN6 се представя за служители по набиране на персонал, за да атакува търсещите работа, но изглежда, че „преминава от представянето за фалшиви служители по набиране на персонал към маскиране на фалшиви кандидати за работа“, което е промяна в тактиката, пишат изследователи от Trend Micro в публикация в блога за атаките.
Trend Micro идентифицира кампанията, когато служител, който работи като ръководител на отдел за търсене на таланти в клиент от инженерния сектор, изтегля фалшива автобиография от предполагаем кандидат за работа за позиция инженер по продажбите. Изтегленият файл е изпълнил злонамерен .lnk файл, който е довел до заразяване с more_eggs.
„Първоначално е изпратен spear-phishing имейл, за който се твърди, че е изпратен от „John Cboins“, използвайки адрес в Gmail, до висш ръководител в компанията“, пишат изследователите. Това електронно писмо не е съдържало прикачени файлове или URL адреси, а вместо това е представлявало похват за социално инженерство, демонстриращ, „че престъпникът се опитва да спечели доверието на потребителя“, пишат те.
Скоро след тази комуникация служител, отговарящ за подбора на персонал, е изтеглил това, което е трябвало да бъде автобиография, John Cboins.zip, от URL адрес с помощта на Google Chrome, въпреки че „не е установено откъде този потребител е получил URL адреса“, отбелязват изследователите.
По-нататъшното разследване на URL адреса разкри това, което изглеждаше като типичен уебсайт на кандидат за работа, който дори използва CAPTCHA тест и вероятно не би предизвикал подозрения, като по този начин е способен лесно да заблуди нищо неподозиращия служител по набиране на персонал, че си кореспондира с легитимен кандидат, казаха те.
Различни изследователи в областта на сигурността са забелязали, че more_eggs се използва в атаки още през 2017 г. срещу различни цели, включително руски финансови институции и минни компании, както и други мултинационални организации. Както беше споменато, more_eggs е част от инструментариума Golden Chickens, който се разпространява от Venom Spider, подземен доставчик на MaaS, известен също като badbullzvenom, според Trend Micro.
Въпреки че задната врата е исторически общ знаменател за различните кампании за заплахи от Venom Spider, методите, използвани за разпространение на зловредния софтуер, са различни. Някои атаки включват фишинг схеми със злонамерени документи, които съдържат JavaScript и PowerShell скриптове, докато други използват LinkedIn и електронна поща, за да примамят служители с фалшиви предложения за работа, отвеждайки ги до злонамерени домейни, които хостват зловредни .zip файлове, отбелязват изследователите.
Нападателите са използвали и фишинг имейли, за да разпространяват .zip файлове, маскирани като изображения, за да инициират инфекция с more_eggs, докато кампания от юни отново е използвала LinkedIn, за да подмами набиращите персонал да получат достъп до сайт с фалшиви автобиографии за работа, който разпространява зловредния софтуер като зловреден .lnk файл.
Изглежда в момента има две активни кампании, разпространяващи зловредния софтуер, които са насочени към жертви, които „са на длъжности, които нападателите биха могли да използват за идентифициране на ценни активи и имат по-висок потенциал за финансова печалба“, пишат изследователите.
Традиционните решения за борба със зловреден софтуер трябва незабавно да открият и премахнат инфекция от more_eggs в корпоративната мрежа. Според Trend Micro обаче фактори като оперативните нужди на организацията, човешката погрешимост и потенциалните неправилни конфигурации могат да създадат риск зловредният софтуер да се изплъзне от тези инструменти.
„Използваните усъвършенствани техники за социално инженерство – като например използването на убедителен уебсайт и зловреден файл, маскиран като резюме, за да се започне заразяването – подчертават критичната необходимост организациите да поддържат постоянна бдителност“, пишат изследователите. „Задължително е защитниците да прилагат надеждни мерки за откриване на заплахи и да насърчават културата на осведоменост за киберсигурността, за да се борят ефективно с тези развиващи се заплахи.“
Trend Micro споделя в публикацията различни индикатори за компрометиране (IoC), свързани с кампаниите. Според публикацията организациите с въведени системи за управлявано откриване и реагиране (MDR) могат да ги използват за създаване на персонализирани филтри и модели, пригодени за откриване на конкретна заплаха като more_eggs, които след това могат да бъдат подадени към наръчник по сигурността за автоматизиране на отговора на сигнал.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.