- 19,427
- 40
- 8 Ноя 2022
Это не письмо от соискателя — это резюме с бэкдором, и оно уже на вашем столе.
Финансово ориентированная хакерская группа FIN6 Для просмотра ссылки Войдиили Зарегистрируйся , развернув фишинговую кампанию с использованием фальшивых резюме, размещённых на инфраструктуре Amazon Web Services. Целью атаки стало распространение вредоносной программы Для просмотра ссылки Войди или Зарегистрируйся — инструмента, связанного с киберпреступной группировкой Для просмотра ссылки Войди или Зарегистрируйся (известной также как Venom Spider).
Для просмотра ссылки Войдиили Зарегистрируйся , также известная под названиями Camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider и TA4557, действует с 2012 года. Её история началась с атак на системы точек продаж в гостиничной и розничной сферах с целью кражи данных платёжных карт. Позднее группа также использовала JavaScript-скиммеры Для просмотра ссылки Войди или Зарегистрируйся для компрометации сайтов электронной коммерции и хищения финансовой информации.
На этот раз злоумышленники выбрали вектор атаки через профессиональные платформы, такие как LinkedIn и Indeed. Притворяясь соискателями, они выходили на связь с рекрутёрами, демонстрировали заинтересованность в вакансии и присылали ссылки на якобы личные сайты с резюме. В действительности по этим ссылкам находились ZIP-архивы, заражённые More_eggs.
Используемые домены (например, «bobbyweisman[.]com» и «ryanberardi[.]com») оформлялись через GoDaddy с включённой анонимной регистрацией. Благодаря этому усложнялась идентификация владельцев и блокировка ресурсов. Такие действия — стандартная практика FIN6 по уходу от слежки и реагирования.
More_eggs представляет собой JavaScript-бэкдор, способный обеспечивать скрытый доступ к системе, кражу учётных данных и запуск последующих атак — включая распространение программ-вымогателей. Хотя само вредоносное ПО создаётся группой Golden Chickens, FIN6 активно использует его как первичный инструмент проникновения, причём делает это, Для просмотра ссылки Войдиили Зарегистрируйся Visa, как минимум с 2018 года.
Новая волна активности показывает заметное повышение уровня маскировки. Хакеры размещают вредоносные документы на сервисах AWS, в том числе EC2 и S3. Сайты снабжены логикой фильтрации трафика: потенциальной жертве сначала предлагается пройти CAPTCHA, после чего проверяется её IP-адрес и браузер. Только пользователям с домашними IP и обычными Windows-браузерами предлагается файл — все остальные получают безвредную версию резюме.
Такой подход затрудняет работу автоматических систем анализа и блокировки: корпоративные сканеры, VPN и облачные IP-адреса не видят ничего подозрительного. Это позволяет FIN6 эффективно избегать обнаружения и продлевать срок жизни своих кампаний.
Для просмотра ссылки Войдиили Зарегистрируйся компании DomainTools, такая тактика — наглядный пример того, как простые фишинговые сценарии могут становиться крайне эффективными за счёт использования легитимной инфраструктуры и простейших, но действенных методов уклонения. Комбинация социальной инженерии, CAPTCHA-защиты и облачного хостинга превращает даже примитивные атаки в серьёзную угрозу.
Финансово ориентированная хакерская группа FIN6 Для просмотра ссылки Войди
Для просмотра ссылки Войди
На этот раз злоумышленники выбрали вектор атаки через профессиональные платформы, такие как LinkedIn и Indeed. Притворяясь соискателями, они выходили на связь с рекрутёрами, демонстрировали заинтересованность в вакансии и присылали ссылки на якобы личные сайты с резюме. В действительности по этим ссылкам находились ZIP-архивы, заражённые More_eggs.
Используемые домены (например, «bobbyweisman[.]com» и «ryanberardi[.]com») оформлялись через GoDaddy с включённой анонимной регистрацией. Благодаря этому усложнялась идентификация владельцев и блокировка ресурсов. Такие действия — стандартная практика FIN6 по уходу от слежки и реагирования.
More_eggs представляет собой JavaScript-бэкдор, способный обеспечивать скрытый доступ к системе, кражу учётных данных и запуск последующих атак — включая распространение программ-вымогателей. Хотя само вредоносное ПО создаётся группой Golden Chickens, FIN6 активно использует его как первичный инструмент проникновения, причём делает это, Для просмотра ссылки Войди
Новая волна активности показывает заметное повышение уровня маскировки. Хакеры размещают вредоносные документы на сервисах AWS, в том числе EC2 и S3. Сайты снабжены логикой фильтрации трафика: потенциальной жертве сначала предлагается пройти CAPTCHA, после чего проверяется её IP-адрес и браузер. Только пользователям с домашними IP и обычными Windows-браузерами предлагается файл — все остальные получают безвредную версию резюме.
Такой подход затрудняет работу автоматических систем анализа и блокировки: корпоративные сканеры, VPN и облачные IP-адреса не видят ничего подозрительного. Это позволяет FIN6 эффективно избегать обнаружения и продлевать срок жизни своих кампаний.
Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
