Dolandırıcılık Yönetimi ve Siber Suç, Sosyal Mühendislik
Rusça konuşan bilgisayar korsanları Fin6 Flip iş sahtekarlığı senaryosu
Prajeet Nair (@prajeaetspeaks) •
11 Haziran 2025
Fin6 olarak izlenen finansal olarak motive edilen hackerlar, iş sahtekarlığı için senaryoyu çevirdi, iş arayanları PHISH işe alımcılarına taklit etti ve güvenilir bulut platformlarında barındırılan sahte özgeçmişler aracılığıyla gizli kötü amaçlı yazılımlar dağıttı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Domaintools’tan araştırmacılar, Skeleton Spider olarak da bilinen Rusça konuşan grubu, LinkedIn’e ve gerçekten de gerçekçi özgeçmişler ve profesyonel etkileşimlerle işe alım görevlilerini buldular. Amaç, geleneksel algılama araçlarından kaçan buluta barındırılmış altyapı kullanarak kötü amaçlı yazılım yükleri sunmaktır.
Bilgisayar korsanları yıllardır iş arayanları, genellikle bir testin parçası olarak varsayılan olarak kötü amaçlı yazılım indirmeye ikna etmek için işe alım görevlileri olarak poz vermiştir. Özellikle Kuzey Koreli bilgisayar korsanları yöntemi kullandılar, ancak bunlara örneklerinden esinlenerek birleştirildi (bkz:: İran tehdit aktörleri Kuzey Kore iş aldatmaca tekniklerini taklit et).
Bir zamanlar perakende satış noktası ihlalleri için meşhur olan Fin6, 2014’te aktif hale gelmesinden bu yana oyun kitabını birkaç kez geliştirdi. Belki de iş dolandırıcılığı üzerinde nihai bükülme, bireysel istihdam avcılarını takip etmek yerine işe alım görevlileriyle ilişki kuruyor. Dolandırıcılık, tıklanamayan özgeçmiş URL’lerine başvuran kimlik avı mesajları göndererek yüksek vitese girer. Bu, işe alım görevlilerini URL’leri manuel olarak tarayıcılara girmeye zorlar – gömülü bağlantıları işaretleyen e -posta güvenlik araçlarını ortadan kaldırır.
Anonim olarak kayıtlı ve meşru başvuru isimlerine benzeyecek şekilde tasarlanmış web alanları, portföy siteleri olarak gizlenmiş ev sahibi açılış sayfaları. Sayfalar, Amazon Web Services altyapısı üzerine oluşturulmuştur ve kötü amaçlı yazılım veya zararsız tuzaklar sunmayı belirleyen trafik filtreleme tekniklerine sahiptir.
Yalnızca konut IP’lerinden kaynaklanan bağlantılar gibi insan gibi görünen kullanıcılar, tipik Windows tabanlı tarayıcıları kullanır ve Pass Captcha testleri bir ZIP dosyası alır. Arşiv, özgeçmiş olarak gizlenmiş kötü niyetli bir .lnk kısayolu içerir. Tıklandıktan sonra, başka bir siber suç grubu Venom Spider’a bağlı JavaScript tabanlı kötü amaçlı yazılım More_Eggs Backdoor’un indirilmesini tetikler.
More_Eggs kötü amaçlı yazılım tamamen bellekte yürütülür, bu da kimlik hırsızlığı, uzaktan komut yürütme ve potansiyel fidye yazılımı teslimatı sağlar. Yerli Windows yardımcı programlarını kullanır wscript.exe– regsvr32.exe Ve msxsl.exe Güvenlik uyarılarını tetiklemekten kaçınmak için, toprağın yaşamı olarak bilinen bir teknik veya lolbins kullanmak.
Fin6 ayrıca Windows kayıt defteri anahtarları ve planlanan görevler aracılığıyla kalıcılık oluşturur.
Kampanyada yer alan onaylanmış alanlar davidlesnick.com– kimberlykamara.com– alanpower.netve diğerleri, hepsi AWS’de barındırıldı.