Tehdit aktörlerinin profesyonel işe alım süreçlerinin doğasında var olan güveni kullandıkları ve rutin iş uygulamalarını sofistike kötü amaçlı yazılım dağıtım mekanizmalarına dönüştürdüğü karmaşık bir siber suç kampanyası ortaya çıktı.
Skeleton Spider olarak da bilinen FIN6 siber suç grubu, LinkedIn gibi profesyonel platformlarda meşru görünen etkileşimlerle başlayan ayrıntılı bir sosyal mühendislik şeması geliştirdi ve aslında saldırganların, kötü niyetli özgeçmiş ekleri içeren dikkatlice hazırlanmış phishing mesajları ile takip etmeden önce işe alım yapanlar ile etkileşime giren hevesli iş arayanlar olarak poz veriyor.
Bu finansal olarak motive olmuş siber suç organizasyonu, şimdi sosyal olarak tasarlanmış kampanyalar aracılığıyla fidye yazılımı dağıtım da dahil olmak üzere daha geniş kurumsal tehditlere odaklanan satış noktası ihlalleri ve ödeme kartı hırsızlığı operasyonlarındaki kökenlerinden önemli ölçüde gelişmiştir.
.png
)
Grubun mevcut metodolojisi, profesyonel ortamlardaki insan psikolojisi ve güven dinamikleri hakkında sofistike bir anlayış göstermektedir ve işe alım görevlilerinin kötü amaçlı yazılım dağıtımına giriş vektörü olarak potansiyel aday materyalleri gözden geçirmek için doğal eğiminden yararlanmaktadır.
.webp)
Domaintools araştırmacıları, Fin6’nın kimlik avı kampanyalarının sahte başvuru sahiplerinden profesyonel olarak ifade edilen mesajları kullandığını ve otomatik bağlantı algılama sistemlerini atlamak için tıkaçlanamayan URL’ler kullandığını belirledi.
Bu iletişim, Bobbyweisman gibi ad ve soyadı birleştiren öngörülebilir kalıpları izleyen alanlar içerir[.]Com ve Ryanberardi[.]Com, hepsi tehdit ilişkilendirmesini ve yayından kaldırma çabalarını karmaşıklaştırmak için GodAddy’nin alan Gizlilik Hizmetleri aracılığıyla anonim olarak kayıtlı.
Saldırganlar, aktif kampanyalar yürütecek kadar uzun süren altyapılarını korumak için tek kullanımlık e-posta adreslerini, anonim IP adreslerini ve ön ödemeli ödeme yöntemlerini kullanarak gerçek tescil ettiren ayrıntılarını kamuoyu görüşünden korumak için Godaddy’nin yerleşik gizlilik özelliklerini kullanıyor.
Bu işlemlerde tercih edilen kötü amaçlı yazılım yükü, Venom Spider Group tarafından hizmet olarak kötü amaçlı yazılım olarak geliştirilen, kimlik bilgisi hırsızlığı, sistem erişimini ve fidye yazılımı dağıtımını içeren takip saldırılarını kolaylaştıran gizli JavaScript tabanlı bir arka kapı olan More_Eggs’dir.
Bu modüler arka kapı, kapsamlı komut yürütme özellikleri sağlarken ve tehlikeye atılan sistemlere ek kötü amaçlı yükler sunmak için bir platform görevi görürken algılamadan kaçınmak için bellekte çalışır.
Bulut Altyapı ve Kaçınma Mekanizmaları
Fin6’nın teknik karmaşıklığı, güvenilir bulut altyapısını, özellikle Amazon Web Hizmetlerini kötüye kullanmalarında, tespit edilmeden kaçınırken kötü amaçlı işlemlerini ağırlamak için özellikle belirgin hale geliyor.
Grup, meşru kişisel özgeçmiş portföylerine yakından benzeyen bulut barındırılmış alanlarda açılış sayfaları oluşturur, genellikle bu alanları AWS EC2 örneklerine veya otantik kişisel veya iş barındırma ortamlarından neredeyse ayırt edilemez hale gelen S3 barındıran statik sitelerle eşleştirir.
Saldırı altyapısı, meşru mağdurlar ve güvenlik analiz araçları arasında birden fazla çevre parmak izi katmanı ile ayırt etmek için tasarlanmış sofistike trafik filtreleme mantığını içermektedir.
.webp)
Sistem, bulut altyapısı, VPN hizmetleri veya bilinen tehdit istihbarat ağlarından bağlantıları engellerken konut ISS aralıklarına erişimi kısıtlayan IP itibarını ve coğrafi konum kontrollerini gerçekleştirir.
Ayrıca, platform, özellikle Windows Tarayıcısı kullanıcı ajanı dizelerini kontrol ederek işletim sistemi ve tarayıcı parmak izi yapar. Mozilla/5.0 (Windows NT 10.0; Win64; x64) Linux, macOS veya nadir tarayıcılar kullanarak ziyaretçileri engellerken veya yeniden yönlendirirken.
Mağdurlar bu filtreleme mekanizmalarında başarılı bir şekilde gezindiklerinde, yük tesliminden önce insan varlığını sağlayan son kapılar görevi gören captcha doğrulama teknikleriyle karşılaşırlar.
Kötü amaçlı yazılım dağıtım zinciri, gizlenmiş JavaScript’i yürüten gizlenmiş .lnk Windows kısayol dosyalarını içeren ZIP dosyalarını kullanır. wscript.exeSonuçta More_Eggs Backdoor’u indirmek için harici kaynaklara bağlanma.
Kalıcılık mekanizmaları, kayıt defteri çalıştırma anahtarlarını içerir. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ ve Sözdizimini kullanarak PowerShell komutlarını yürüterek HTTPS aracılığıyla HTTPS aracılığıyla komut ve kontrol iletişimi: powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -EncodedCommand.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği