İş arayanlar ve işe alım görevlileri, TA4557 tehdit aktörlerinin bir işe ilgi duyuyormuş gibi davrandığı, ancak asıl niyetlerinin bir arka kapı sunmak olduğu LinkedIn’deki kötü niyetli e-postalara ve mesajlara karşı dikkatli olmalıdır.
Yetenekli ama gizemli bir siber suç grubu olan TA4557, Proofpoint’in 12 Aralık 2023’te yayınlanan son raporunda ortaya çıktığı gibi Ekim 2023’ten bu yana işe alım yapanları kötü amaçlı yazılımlarla hedef alıyor.
Proofpoint’in araştırmasına göre TA4577, kötü amaçlı yazılım dağıtmak için işe alım görevlilerine doğrudan e-postalar gönderiyor. Bu e-postalar iyi huylu görünüyor ve açık bir işe olan ilgiyi ifade ediyor. Alıcı yanıt verdiğinde saldırı zinciri başlar.
TA4557, finansal motivasyona sahip bir tehdit aktörüdür ve More_Eggs arka kapısı LinkedIn’deki işe alım görevlilerine karşı. 2022 ve 2023’ün büyük bölümünde, tehdit aktörü mevcut açık iş listelerine başvurdu ve uygulamaya kötü amaçlı URL’ler yerleştirdi.
Ancak, hem doğrudan e-posta göndermenin yeni yöntemini hem de kamu iş ilanı panolarında yayınlanan işlere başvurmak gibi eski tekniği kullandıkları son kampanyada taktiklerini değiştirdiler, ancak niyet aynı kaldı.
Kasım 2023’ün başlarında, güvenlik sağlayıcısı Proofpoint, TA4557’nin alıcıları, özgeçmiş web sitesi URL’sini doğrudan göndermek yerine portföylerine erişmek için e-posta adreslerinin alan adına başvurmaya yönlendirdiği kampanyaları gözlemledi. Aktör daha sonra kurbanları, kullanıcıları saldırı zincirinin bir sonraki aşamasına yönlendirmek için filtreleme kullanan bir adayın özgeçmişini veya iş sitesini taklit eden kişisel bir web sitesine yönlendirdi.
Kurban, filtreleme kontrollerini geçtikten sonra, düz metin halindeki bir özgeçmişe veya bir aday web sitesine yönlendirilir. CAPTCHA Living Off The Land (LOTL) adlı bir komut dosyasını indirmek/yürütmek için meşru yazılım işlevlerini kötüye kullanan bir kısayol dosyasının (.LNK) indirilmesini başlatmak.
Bu komut dosyası, WMI (Windows Yönetim Araçları) kullanarak yeni bir regsrv32 işlemi oluşturmak için bir DLL’nin şifresini çözer ve bırakır ve DLL’de hata ayıklanıp ayıklanmadığını belirlemek için birden fazla kontrol kullanır. Bu DLL ayrıca More_Eggs arka kapısını da bırakır ve WMI hizmetini kullanarak MSXSL işleminin oluşturulmasını başlatır.
Proofpoint’e göre raporTA4557, benzersiz araç/kötü amaçlı yazılım kullanımı, kampanya hedeflemesi, iş adayı temalı tuzakları, gelişmiş kaçınma önlemleri, farklı saldırı zincirleri ve aktör kontrollü altyapısı nedeniyle benzersizdir. bu grubun faaliyetleri tarihsel olarak siber suç grubuyla örtüşüyordu FIN6 Siber suç grupları tarafından kullanılan faaliyetler ve kötü amaçlı yazılım paketi Kobalt Grubu Ve Kötü numara.
TA4557 gelişmiş bir sosyal mühendislik sergiliyor, cazibesini çevrimiçi yayınlanan meşru iş fırsatlarına göre tasarlıyor, güven oluşturmak için zararsız mesajlar kullanıyor ve kötü amaçlı içerik göndermeden önce hedeflerle etkileşime geçiyor.
Grup, gönderen e-postalarını, sahte özgeçmiş alanlarını ve altyapısını düzenli olarak değiştiriyor; bu da savunucuların ve otomatik güvenlik araçlarının içeriğin kötü amaçlı olduğunu tespit etmesini zorlaştırıyor.
Bu nedenle, üçüncü taraf iş ilanı web sitelerini kullanan kuruluşların TA4557’nin taktiklerinden haberdar olmaları ve çalışanları eğitmek özellikle işe alma ve işe alma fonksiyonlarında bu tehditle ilgili.
İLGİLİ MAKALELER
- Bilgisayar korsanları işsiz ABD gazilerini dolandırmak için sahte iş web sitesi kullandı
- Bilgisayar korsanları 29 milyon Hintli iş arayan kişinin verilerini indirmek için sızdırdı
- Birleşik Krallık’taki bir işe alım firması, adayların hassas verilerini aylarca ifşa etti
- Bilgisayar Korsanları Sahte LinkedIn İşini Kullanarak Axie Infinity’den 625 Milyon Dolar Çaldı
- Interpol, Sahte Çevrimiçi İş İlanlarıyla Mağdurları Cezbeden İnsan Kaçakçılarını Yakaladı