Η εταιρεία κυβερνοασφάλειας Proofpoint προειδοποιεί τους υπεύθυνους προσλήψεων για μια hacking ομάδα που στέλνει phishing emails με σκοπό τη διανομή κακόβουλου λογισμικού. Πρόκειται για τους hackers TA4557 (μια ομάδα με οικονομικά κίνητρα) που είναι γνωστοί για τη διανομή του backdoor More_Eggs και τώρα στοχεύουν υπεύθυνους προσλήψεων εταιρειών. Το backdoor που διανέμουν, έχει σχεδιαστεί για να εδραιώνει persistence και να εγκαθιστά επιπλέον κακόβουλα payloads στα μολυσμένα συστήματα.
Καθ’ όλη τη διάρκεια του 2022 αλλά και κατά το μεγαλύτερο μέρος του 2023, οι hackers απαντούσαν σε open job listings σε πίνακες θέσεων εργασίας τρίτων και, πιο πρόσφατα, στόχευαν απευθείας τους υπεύθυνους προσλήψεων.
Η Proofpoint αναφέρει ότι μόλις ο παραλήπτης απαντήσει στο αρχικό email, οι επιτιθέμενοι απαντούν με μια διεύθυνση URL που συνδέεται με έναν ιστότοπο που βρίσκεται υπό τον έλεγχό τους. Το site αυτό παρουσιάζεται σαν βιογραφικό υποψηφίου.
Δείτε επίσης: GuLoader Malware: Νέες τεχνικές για αποφυγή ανάλυσης
“Εναλλακτικά, οι επιτιθέμενοι απαντούν με ένα συνημμένο PDF ή Word που περιέχει οδηγίες για να επισκεφτεί το άτομο τον ιστότοπο του πλαστού βιογραφικού“.
Σε ορισμένες πρόσφατες απόπειρες phishing, οι hackers TA4557 προσπάθησαν να παρακάμψουν τα φίλτρα ασφαλείας, ζητώντας από τον παραλήπτη “να ανατρέξει στο domain name της διεύθυνσης email μου για πρόσβαση στο portfolio μου”.
Εάν ακολουθήσουν αυτές τις οδηγίες και επισκεφτούν τον ιστότοπο του αποστολέα, οι υπεύθυνοι πρόσληψης θα δουν μια σελίδα CAPTCHA, η οποία, εάν ολοκληρωθεί, θα ξεκινήσει τη λήψη ενός αρχείου zip που περιέχει ένα αρχείο συντόμευσης (LNK).
“Το LNK, εάν εκτελεστεί, καταχράται τις νόμιμες λειτουργίες λογισμικού στο “ie4uinit.exe” για τη λήψη και εκτέλεση ενός scriptlet από μια τοποθεσία που είναι αποθηκευμένη στο αρχείο “ie4uinit.inf“”, εξήγησε η εταιρεία ασφαλείας.
“Το scriptlet αποκρυπτογραφεί και εγκαθιστά ένα DLL στο φάκελο %APPDATA%\Microsoft. Στη συνέχεια, επιχειρεί να δημιουργήσει ένα νέο regsrv32 process για την εκτέλεση του DLL χρησιμοποιώντας Windows Management Instrumentation (WMI) και, εάν αυτό αποτύχει, δοκιμάζει μια εναλλακτική προσέγγιση χρησιμοποιώντας τη μέθοδο ActiveX Object Run“.
Δείτε επίσης: Νέο proxy trojan malware στοχεύει χρήστες Mac
Αυτές οι τεχνικές “living-off-the-land” έχουν σχεδιαστεί για να αναπτύξουν ένα DLL το οποίο φορτώνει τελικά το More_Eggs backdoor στον υπολογιστή του θύματος.
Η Proofpoint προέτρεψε τους υπεύθυνους προσλήψεων να είναι πολύ προσεκτικοί και να ενημερωθούν γι’ αυτή τη νέα απειλή από τους hackers TA4557, που συνδέονται επίσης με την ομάδα FIN6.
“Η Proofpoint έχει δει μια αύξηση στους παράγοντες απειλών που χρησιμοποιούν καλοήθη μηνύματα για την οικοδόμηση εμπιστοσύνης και την αλληλεπίδραση με έναν στόχο, πριν από την αποστολή του κακόβουλου περιεχομένου. Η TA4557 υιοθετώντας αυτήν την τεχνική μπορεί να πείσει τους παραλήπτες να εμπιστεύονται περισσότερο την αλληλεπίδραση και το επακόλουθο περιεχόμενο που μοιράζονται μαζί τους“, κατέληξε η εταιρεία.
“Επιπλέον, η ομάδα αλλάζει τακτικά τα email αποστολέων, ψεύτικα resume domains και την υποδομή. Αυτό γίνεται παράλληλα με τη δημιουργία σχέσης με τον στόχο πριν από την αποστολή του κακόβουλου payload και δημιουργεί πρόβλημα για τους υπερασπιστές και τα αυτοματοποιημένα εργαλεία ασφαλείας, καθώς μπορεί να είναι δύσκολο να εντοπιστεί το περιεχόμενο ως κακόβουλο“.
Δείτε επίσης: Trickbot malware: Ρώσος developer ομολογεί την ενοχή του
Προστασία
- Χρήση email spam filters
- Προστασία συσκευών με λογισμικό προστασίας από ιούς και τακτική ενημέρωση λογισμικού
- Χρήση ενός μοναδικού κωδικού πρόσβασης για καθέναν από τους διαδικτυακούς λογαριασμούς.
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων
- Δημιουργία αντιγράφων ασφαλείας
- Ενημέρωση προσωπικού για νέες απειλές και εκπαίδευση με δοκιμαστικές phishing επιθέσεις.
- Παρακολούθηση και προστασία των endpoints.
- Περιορισμός πρόσβασης σε σημαντικά συστήματα (πρόσβαση στα συστήματα υψίστης σημασίας πρέπει να έχουν μόνο αυτοί που τη χρειάζονται απολύτως).
- Τμηματοποίηση δικτύου
Πηγή: www.infosecurity-magazine.com
