Proofpoint araştırmacıları, işe alım görevlilerinin, iş başvurusunda bulunanların kimliğine bürünen siber dolandırıcılar tarafından gönderilen hedef odaklı kimlik avı e-postaları aracılığıyla hedef alındığı konusunda uyarıyor.
“E-postaların üslubu ve içeriği, alıcıya aktörün meşru bir aday olduğunu gösteriyor ve aktör özellikle işe alım ve işe alımla ilgilenen kişileri hedef aldığından, e-postalar hemen şüpheli görünmüyor” dedi.
Saldırı bir e-postayla başlıyor, kötü amaçlı yazılımla bitiyor
Proofpoint tarafından TA4557 olarak tanımlanan tehdit aktörü, ilk olarak işe alım görevlilerine kötü amaçlı bir bağlantı veya ek içermeyen bir hedef odaklı kimlik avı e-postası göndererek ulaşıyor; yalnızca bir şirketteki iş pozisyonunun hala açık olup olmadığını sorguluyor.
Bu ilk e-postanın amacı, işe alım görevlisinin, sahte bir özgeçmiş web sitesine işaret eden, takip e-postasında verilen bağlantıya dolaylı olarak güvenmesini sağlamaktır.
(Bazen bağlantı olmayabilir: Alıcıya, gönderenin kişisel sitesine erişmek için gönderenin e-posta adresinin alan adını kopyalayıp yapıştırması talimatı verilir.)
Bir takip e-postası (Kaynak: Proofpoint)
Araştırmacılar, “Web sitesi, kullanıcıyı saldırı zincirinin bir sonraki aşamasına yönlendirip yönlendirmeyeceğini belirlemek için filtreleme kullanıyor” dedi.
“Potansiyel kurban filtreleme kontrollerini geçemezse, düz metin olarak özgeçmişin bulunduğu bir sayfaya yönlendiriliyor. Alternatif olarak filtreleme kontrollerini geçerlerse adayın internet sitesine yönlendiriliyorlar.”
İkincisi, tamamlandığında bir kısayol dosyası (LNK) içeren bir ZIP dosyasının indirilmesini tetikleyen bir CAPTCHA kullanır.
Kurban LNK dosyasını çalıştırırsa arka planda bir dizi eylem gerçekleştirilir:
- Bir komut dosyası indirilir ve yürütülür (yasal yazılım işlevlerinin kötüye kullanılması yoluyla)
- Komut dosyası bir DLL dosyasını %APPDATA%\Microsoft klasörüne bırakır ve bunu Windows Yönetim Araçları (WMI) veya ActiveX Nesne Çalıştırma yöntemi aracılığıyla yürütmeye çalışır.
- DLL, More_Eggs arka kapısını deşifre etmek için kullandığı bir RC4 anahtarını alır ve arka kapıyı ve çalıştırılabilir bir MSXSL dosyasını bırakır.
- WMI, MSXSL işlemini oluşturmak için yeniden kullanılır ve DLL kendini siler
Sistemin profilini çıkarmak, ek kötü amaçlı yükleri bırakmak ve kalıcılık oluşturmak için kullanılabilecek arka kapı, sonunda hedef makineye güvenli bir şekilde yerleştirilmiştir.
Otomatik tespitten kaçınmak
Araştırmacılar, kötü niyetli içeriği göndermeden önce güven oluşturmak ve hedefle etkileşime geçmek için iyi huylu mesajlar kullanan tehdit aktörlerinin sayısında bir artış gördüklerini söylüyor.
Araştırmacılar, “Proofpoint, TA4557’yi 2018’den bu yana More_Eggs arka kapısını dağıttığı bilinen, yetenekli, finansal motivasyona sahip bir tehdit aktörü olarak izliyor” dedi.
“Son zamanlarda gözlemlenen kampanyalarda TA4557, saldırı zincirini başlatmak için hem işe alım görevlilerine doğrudan e-posta göndermenin yeni yöntemini hem de kamu iş ilanı kurullarında yayınlanan işlere başvurma şeklindeki eski tekniği kullandı.”
Tehdit aktörü, e-postalarının e-posta filtreleri tarafından işaretlenmesini önlemek için gönderen e-postalarını, sahte özgeçmiş alanlarını ve altyapısını düzenli olarak değiştiriyor. Aynı nedenden ötürü grup, saldırılarına otomatik güvenlik araçlarının muhtemelen şüpheli veya kötü niyetli olarak “görmeyeceği” bir e-postayla başlıyor.