More_eggs adlı bir JavaScript arka kapısına sahip işe alım uzmanlarını hedef alan bir hedef odaklı kimlik avı e-posta kampanyası gözlemlendi; bu, sahte iş başvurusu yemleri kisvesi altında sektörü ayırmaya yönelik ısrarlı çabalara işaret ediyor.
Trend Micro araştırmacıları Ryan Soliven, Maria Emreen Viray ve Fe Cureg, bir analizde şunları söyledi: “Karmaşık bir hedef odaklı kimlik avı tuzağı, bir işe alım memurunu özgeçmiş gibi görünen kötü amaçlı bir dosyayı indirip çalıştırması için kandırdı ve bu da more_eggs arka kapı enfeksiyonuna yol açtı.”
Hizmet olarak kötü amaçlı yazılım (MaaS) olarak satılan More_eggs, çevrimiçi banka hesapları, e-posta hesapları ve BT yönetici hesaplarıyla ilgili olanlar da dahil olmak üzere kimlik bilgilerini ele geçirme yetenekleriyle birlikte gelen kötü amaçlı bir yazılımdır.
Altın Tavuklar grubu (diğer adıyla Venom Spider) adı verilen bir tehdit aktörüne atfediliyor ve FIN6 (diğer adıyla ITG08), Cobalt ve Evilnum gibi diğer birçok e-suç grubu tarafından da kullanılıyor.
Bu Haziran ayının başlarında eSentire, saldırganların kontrolündeki bir sitede barındırılan sahte özgeçmişler için LinkedIn’i bir dağıtım vektörü olarak kullanan benzer bir saldırının ayrıntılarını açıkladı. Gerçekte dosyalar, açıldıktan sonra enfeksiyon dizisini tetikleyen Windows kısayol (LNK) dosyalarıdır.
Trend Micro’nun son bulguları, tehdit aktörlerinin muhtemelen güven inşa etmek ve onların güvenini kazanmak amacıyla hedef odaklı kimlik avı e-postası göndermesine ilişkin daha önce gözlemlenen modelden hafif bir sapmaya işaret ediyor. Saldırı, Ağustos 2024’ün sonlarında mühendislik sektöründe çalışan bir yetenek arama liderini hedef alarak gözlemlendi.
Araştırmacılar, “Kısa bir süre sonra, bir işe alım görevlisi, Google Chrome’u kullanarak bir URL’den John Cboins.zip adlı sözde özgeçmişi indirdi” dedi. “Bu kullanıcının URL’yi nereden aldığı belirlenmedi. Ancak her iki kullanıcının faaliyetlerinden de içeriden bir satış mühendisi aradıkları açıktı.”
Söz konusu URL, johncboins[.]com, kurbanı LNK dosyasını içeren bir ZIP arşiv dosyasını indirmeye ikna etmek için bir “CV İndir” düğmesi içerir. eSentire tarafından bildirilen saldırı zincirinin, LNK dosyasını doğrudan indiren benzer bir düğmeye sahip aynı siteyi de içerdiğini belirtmekte fayda var.
LNK dosyasına çift tıklamak, kötü amaçlı bir DLL’nin yürütülmesine yol açan karmaşık komutların yürütülmesine neden olur; bu da, More_eggs arka kapısının bir başlatıcı aracılığıyla bırakılmasından sorumludur.
More_eggs, öncelikle yönetici ayrıcalıklarıyla mı yoksa kullanıcı ayrıcalıklarıyla mı çalıştığını kontrol ederek faaliyetlerine başlıyor, ardından ele geçirilen ana bilgisayarın keşfini gerçekleştirmek için bir dizi komut çalıştırıyor. Daha sonra ikincil kötü amaçlı yazılım yüklerini almak ve yürütmek için bir komuta ve kontrol (C2) sunucusuna işaret eder.
Trend Micro, kampanyanın bulaşma sürecinin bir parçası olarak PowerShell ve Visual Basic Script (VBS) bileşenlerini içeren başka bir varyasyonunu gözlemlediğini söyledi.
“Bu saldırıları ilişkilendirmek, çeşitli saldırı bileşenlerinin ve altyapısının dış kaynak kullanımına izin veren MaaS’ın doğası gereği zordur” dedi. “Birden fazla grup, Altın Tavuklar tarafından sunulanlara benzer hizmetler tarafından sağlanan aynı araç kitlerini ve altyapıyı kullanabileceğinden, bu durum belirli tehdit aktörlerinin yerini tespit etmeyi zorlaştırıyor.”
Bununla birlikte şirket, kullanılan taktikler, teknikler ve prosedürlere (TTP’ler) atıfta bulunarak, saldırının FIN6’nın işi olabileceğinden şüphelenildiğini belirtti.
Bu gelişme, HarfangLab’ın, FIN7 siber suç grubu tarafından AvNeutralizer aracını şifrelemek ve gizlemek için kullanılan özel paketleyici PackXOR’a ışık tutmasından haftalar sonra gerçekleşti.
Fransız siber güvenlik firması, XMRig kripto para madencisi ve r77 rootkit gibi aynı paketleyicinin “ilgisiz yükleri korumak” için kullanıldığını gözlemlediğini ve bunun diğer tehdit aktörleri tarafından da kullanılabileceği olasılığını artırdığını söyledi.
HarfangLab, “PackXOR geliştiricileri gerçekten de FIN7 kümesine bağlı olabilir, ancak paketleyici FIN7 ile ilgili olmayan faaliyetler için kullanılıyor gibi görünüyor” dedi.