Yakın zamanda yayımlanan bir güvenlik tavsiyesine göre siber suçlular, iş aramanın doğasında olan güveni istismar eden karmaşık bir sosyal mühendislik stratejisi benimsedi.
Vietnam’da faaliyet gösteren mali motivasyonlu bir tehdit kümesi, meşru istihdam platformları ve özel olarak oluşturulmuş işe alım web siteleri üzerindeki sahte iş ilanları aracılığıyla dijital reklamcılık ve pazarlama profesyonellerini hedef alıyor.
Uzaktan erişim truva atlarından ve kimlik bilgisi toplayan kimlik avı kitlerinden yararlanan kampanya, birçok sektörde kurumsal reklamcılık ve sosyal medya hesapları için giderek büyüyen bir tehdit oluşturuyor.
Saldırı metodolojisi, popüler iş ilanlarında dijital medya ajansları gibi görünen sahte şirket profilleri oluşturmaya odaklanıyor.
Hiçbir şeyden şüphelenmeyen adaylar bu uydurma pozisyonlar için özgeçmişlerini ve iletişim bilgilerini gönderdiklerinde farkında olmadan tehdit aktörlerinin daha sonra istismar edeceği bir güven temeli oluştururlar.
Mağdurun ilk temasının kendiliğinden başlatılan doğası, saldırganın daha sonraki iletişimlerini meşru gösterir; çünkü hedefler, aktif olarak takip ettikleri bir pozisyon hakkında potansiyel bir işverenle iletişim kurduklarına inanırlar.
Güvenlik açığı anında istismarın ötesine uzanıyor. Tehdit aktörleri, toplanan kurban bilgilerini, ek uydurma fırsatlar hakkında gelecekteki soğuk e-posta kampanyaları için saklayabilir veya aktif iş arayanların seçilmiş listelerini diğer suç gruplarına satarak para kazanabilir.
Bu, tek bir iş uygulamasının uzun süreler boyunca tekrarlanan hedeflemelerle sonuçlanabileceği kalıcı bir tehdit ortamı yaratır.
Google Tehdit İstihbarat Grubu araştırmacıları, operasyonu UNC6229 olarak tanımladı ve kümenin öncelikli olarak halihazırda çalışıyorken aktif olarak iş arayabilecek sözleşmeli veya yarı zamanlı pozisyonlardaki uzak çalışanları hedef aldığını belirtti.
.webp)
Kampanya özellikle, tehdit aktörlerinin reklam satmak veya ele geçirilen hesapları doğrudan diğer suç kuruluşlarına satmak için kullanabileceği yüksek değerli kurumsal reklamlara ve sosyal medya hesaplarına meşru erişimi olan bireylere odaklanıyor.
Teslimat Mekanizmaları ve Teknik Altyapı
İlk iletişim aşamasını takiben UNC6229, kampanyanın özelliklerine bağlı olarak iki ana yük dağıtım yöntemini kullanır.
İlk yaklaşım, beceri değerlendirmeleri, başvuru formları veya ön işe alım görevleri olarak gizlenen şifre korumalı ZIP eklerinin gönderilmesini içerir.
Bu arşivler, saldırganlara cihazın tam kontrolünü vererek daha sonra hesapların ele geçirilmesine olanak tanıyan uzaktan erişim truva atları içerir.
İkinci yöntem, genellikle URL hizmetleri aracılığıyla kısaltılan, mağdurları sahte görüşme planlama portallarına veya değerlendirme platformlarına yönlendiren, gizlenmiş kimlik avı bağlantılarını kullanır.
Kimlik avı altyapısı, Okta ve Microsoft uygulamaları da dahil olmak üzere çeşitli çok faktörlü kimlik doğrulama şemalarını yönetirken, özellikle kurumsal e-posta kimlik bilgilerini hedef alacak şekilde yapılandırılmış analiz kitleriyle teknik gelişmişlik göstermektedir.
Google araştırmacıları, UNC6229’un ilk iletişimleri göndermek ve kampanyaları yönetmek için Salesforce dahil meşru müşteri ilişkileri yönetimi platformlarını kötüye kullandığını belirtti.
Güvenilir hizmetlerin bu şekilde kötüye kullanılması, e-posta teslim oranlarını artırır ve geleneksel güvenlik filtrelerini atlayarak kötü amaçlı mesajların alıcılara orijinal görünmesini sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
