Çok uluslu finans kuruluşlarını hedef aldığı bilinen uzun süredir aktif bir tehdit grubu, yetenek işe alım uzmanlarını hedef almak için iş arayanların kimliğine bürünüyor. Yöntem, ikincil kötü amaçlı yazılım yüklerini çalıştırabilen “more_eggs” arka kapısını yayan bir hedef odaklı kimlik avı kampanyasıdır.
Trend Micro’dan araştırmacılar, Golden Chickens adlı hizmet olarak kötü amaçlı yazılım (MaaS) araç setinin bir parçası olan JScript arka kapısını dağıtan bir kampanya keşfettiklerini ortaya çıkardılar. Bu hafta yayınlanan analiz bu hafta yayınlandı. Kampanyanın muhtemelen arka kapıyı kullanarak kurbanlarını hedef alan FIN6’nın işi olduğuna inanıyorlar. Ancak Trend Micro, kötü amaçlı yazılımın MaaS paketinin bir parçası olmasının “farklı tehdit aktörleri arasındaki çizgileri bulanıklaştırdığını” ve dolayısıyla kesin atıf yapmayı zorlaştırdığını vurguladı.
Trend Micro araştırmacıları bir blogda, FIN6’nın geçmişte iş arayanları hedef almak için işe alım görevlileri gibi davrandığı biliniyordu, ancak Trend Micro araştırmacıları bir blogda, taktik değişikliğiyle “sahte işe alım görevlileri gibi görünmekten şimdi sahte iş başvurusunda bulunanlar gibi görünmeye doğru ilerlediğini” yazdı. saldırılarla ilgili paylaşım
Trend Micro, kampanyayı, mühendislik sektöründeki bir müşteride yetenek arama lideri olarak çalışan bir çalışanın, satış mühendisi pozisyonu için iş başvurusunda bulunduğu iddia edilen bir kişinin sahte özgeçmişini indirmesiyle tespit etti. İndirilen dosya, kötü amaçlı bir .lnk dosyasını çalıştırdı ve bu da more_eggs enfeksiyonu.
Araştırmacılar, “Bir hedef odaklı kimlik avı e-postası, iddiaya göre ‘John Cboins’ tarafından bir Gmail adresi kullanılarak şirketteki üst düzey bir yöneticiye gönderilmişti.” diye yazdı. Bu e-postanın herhangi bir ek veya URL içermediğini, bunun yerine “tehdit aktörünün kullanıcının güvenini kazanmaya çalıştığını” gösteren bir sosyal mühendislik taktiği olduğunu yazdılar.
Araştırmacılar, bu iletişimden kısa bir süre sonra, bir işe alım memurunun Google Chrome kullanarak bir URL’den özgeçmiş olması gereken John Cboins.zip dosyasını indirdiğini, ancak “bu kullanıcının URL’yi nereden elde ettiği belirlenemediğini” belirtti.
URL’nin daha ayrıntılı incelenmesi, bir iş başvurusunda bulunan kişinin CAPTCHA testini bile kullanan ve muhtemelen şüphe uyandırmayan tipik bir web sitesi gibi görünen, bu nedenle şüphelenmeyen bir işe alım görevlisini meşru bir adayla yazıştığını düşünmesi için kolayca kandırabilen bir web sitesini ortaya çıkardı. dediler.
Aynı Yük, Farklı Yerleştirme Yöntemleri
Çeşitli güvenlik araştırmacıları, more_egg’lerin 2017 gibi erken bir tarihte Rus finans kurumları, madencilik firmaları ve diğer çokuluslu kuruluşlar da dahil olmak üzere çeşitli hedeflere yönelik saldırılarda kullanıldığını gözlemledi. Belirtildiği gibi more_eggs, aynı zamanda yeraltı MaaS sağlayıcısı Venom Spider tarafından dağıtılan Altın Tavuklar araç setinin bir parçasıdır. banyo boğası zehiriTrend Micro’ya göre.
Arka kapı tarihsel olarak Venom Spider’ın farklı tehdit kampanyaları arasında ortak bir payda olsa da, arka kapı için kullanılan yöntemler kötü amaçlı yazılım dağıtma çeşitli. Araştırmacılar, bazı saldırıların, JavaScript ve PowerShell komut dosyaları içeren kötü amaçlı belgeler içeren kimlik avı planlarını içerdiğini, diğerlerinin ise çalışanları sahte iş teklifleriyle kandırmak için LinkedIn ve e-postayı kullandığını ve bunun da onları kötü amaçlı .zip dosyalarını barındıran kötü amaçlı alanlara yönlendirdiğini belirtti.
Saldırganlar, more_eggs enfeksiyonunu başlatmak amacıyla resim kılığında .zip dosyalarını dağıtmak için kimlik avı e-postaları da kullandı; Haziran ayındaki bir kampanyada ise bu durumdan yeniden yararlanıldı. LinkedIn işe alım görevlilerini, kötü amaçlı yazılımı kötü amaçlı bir .lnk dosyası olarak dağıtan sahte bir iş özgeçmiş sitesine erişmeleri için kandırmak.
Araştırmacılar, şu anda kötü amaçlı yazılımı yayan ve “saldırganların değerli varlıkları tespit etmek için kullanabileceği rollerde olan ve mali kazanç potansiyeli daha yüksek olan” kurbanları hedef alan iki aktif kampanyanın var gibi göründüğünü yazdı.
“More_Eggs” Yumurtadan Çıkmasını Önleyin
Geleneksel kötü amaçlı yazılımdan koruma çözümleri, kurumsal ağdaki more_eggs’in bulaşmasını anında tespit etmeli ve ortadan kaldırmalıdır. Ancak Trend Micro’ya göre, bir kuruluşun operasyonel ihtiyaçları, insanların yanılabilirliği ve potansiyel yanlış yapılandırmalar gibi faktörler, kötü amaçlı yazılımın bu tespitleri aşma riski oluşturabilir.
Araştırmacılar, “İkna edici bir web sitesi ve enfeksiyonu başlatmak için özgeçmiş kılığına girmiş kötü amaçlı bir dosya kullanmak gibi kullanılan gelişmiş sosyal mühendislik teknikleri, kuruluşların sürekli tetikte olma konusundaki kritik ihtiyacının altını çiziyor” diye yazdı. “Savunucuların sağlam tehdit tespit önlemleri uygulaması ve bu gelişen tehditlerle etkili bir şekilde mücadele etmek için bir siber güvenlik farkındalığı kültürü geliştirmesi zorunludur.”
Trend Micro, gönderide kampanyalarla ilgili çeşitli güvenlik ihlali göstergelerini (IoC’ler) paylaştı. Gönderiye göre, yönetimli algılama ve yanıt (MDR) sistemlerine sahip kuruluşlar, bunları more_eggs gibi belirli bir tehdidi tespit etmek için uyarlanmış özel filtreler ve modeller oluşturmak için kullanabilir ve daha sonra bir uyarıya yanıtı otomatikleştirmek için bir güvenlik taktik kitabına beslenebilirler. .