典型的な採用関連のソーシャル・エンジニアリング攻撃にひねりを加えたハッキング・グループ「FIN6」は、求職者になりすまして採用担当者を標的にし、説得力のある履歴書とフィッシング・サイトを使ってマルウェアを配信する。
FIN6(別名「スケルトン・スパイダー」)は当初、クレジットカードを盗むためにPOS(販売時点情報管理)システムを侵害するなど、金融詐欺を行うことで知られていたハッキンググループだ。しかし、2019年には、RyukやLockergogaのような既存の作戦に加わり、脅威行為者はランサムウェア攻撃に拡大した。
同グループは最近、ソーシャルエンジニアリングキャンペーンを利用して、認証情報の窃取、システムへのアクセス、ランサムウェアの展開に使用されるマルウェア・アズ・ア・サービスのJavaScriptバックドア「More Eggs」を配信している。
攻撃プロセス
DomainToolsの新しいレポートでは、FIN6が求職者を装って求職者をおびき寄せるのではなく、求職者になりすまして採用担当者を標的にすることで、典型的な雇用詐欺をどのように切り替えているかを研究者が詳しく説明しています。
偽の求職者ペルソナに隠れて、彼らはLinkedInやIndeedのメッセージを通じてリクルーターや人事部に近づき、そこで信頼関係を築いてからフィッシングメールでフォローアップする。
これらのメールはプロフェッショナルに作成され、検出やブロックを回避するために、「履歴書サイト」へのクリックできないURLが含まれており、受信者はブラウザで手動で入力することを余儀なくされる。
ソースドメインツール
GoDaddyを通じて匿名で登録されたドメインは、AWSでホストされている。AWSは信頼できるクラウドサービスであり、セキュリティツールによって一般的にフラグが立てられることはない。
このキャンペーンでFIN6が使用したドメインの例を、攻撃に使用された偽のペルソナにちなんで、以下に列挙する:
- bobbyweisman[.]com
- emersonkelly[.]com
- davidlesnick[.]com
- kimberlykamara[.]com
- annalanyi[.]com
- bobbybradley[.]net
- malenebutler[.]com
- ロリナッシュ[.]com
- alanpower[.]net
- edwarddhall[.]com
FIN6はまた、ターゲットだけが彼らのプロフェッショナルなポートフォリオを含むランディングページを開くことができることを確実にするために、環境フィンガープリンティングと行動チェックを追加しました。
VPNやクラウド接続、LinuxやmacOSからの訪問はブロックされ、代わりに無害なコンテンツが提供される。
適格な被害者は、履歴書が含まれているとされるZIPアーカイブをダウンロードするよう促される前に偽のCAPTCHAステップを受けますが、実際には「More Eggs」バックドアをダウンロードするスクリプトを実行する偽装されたWindowsショートカットファイル(LNK)が含まれています。
Source:DomainTools
Venom Spider」と呼ばれる脅威アクターによって作成された「More Eggs」は、コマンドの実行、クレデンシャルの窃取、追加ペイロードの配信、PowerShellの実行が可能なモジュール式のバックドアです。
FIN6の攻撃はシンプルでありながら非常に効果的で、ソーシャルエンジニアリングと高度な回避に依存しています。
採用担当者や人事部の従業員は、履歴書やポートフォリオを確認するための招待、特に履歴書をダウンロードするために外部のサイトにアクセスするよう要求された場合は、慎重にアプローチする必要があります。
また、企業や人材紹介会社は、それ以上関与する前に、その人の紹介者や、その人が現在/以前の雇用主としてリストアップしている企業の関係者に問い合わせるなどして、その人の身元を独自に確認するようにしてください。
6/11更新– Amazonの広報担当者から以下のコメントが届きました:
「AWSには、顧客が適用される法律を遵守してサービスを利用することを求める明確な規約があります。AWSは、顧客が適用される法律を遵守してサービスを利用することを求める明確な規約を定めています。規約違反の可能性があるという報告を受けた場合、私たちは迅速に対応し、禁止されているコンテンツを確認し、無効にする措置をとります。我々は、セキュリティ研究コミュニティとのコラボレーションを重視しており、研究者の皆様には、専用の不正使用報告プロセスを通じて、不正使用の疑いをAWS Trust & Safetyに報告することを推奨しています。”- AWS広報担当者
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments