Компания Arctic Wolf Labs представила отчет о новой целевой кампании, проводимой финансово мотивированной хакерской группой Venom Spider. Основная цель атак – отделы кадров различных организаций, которые становятся жертвами фишинговых электронных писем с поддельными резюме.
Методы атаки
Злоумышленники используют законные сервисы обмена сообщениями и платформы для трудоустройства, чтобы привлекать потенциальные жертвы, исследуя потребности компаний в заполнении вакансий. Атака начинается с фишингового письма, содержащее ссылку на загрузку предположительно законного резюме. Пройдя по этой ссылке, жертвы попадают на сайт под контролем хакеров, где им предлагается ввести CAPTCHA для загрузки ZIP-файла с вредоносным содержимым.
Усложненная вредоносная программа More_eggs
Вредоносная программа More_eggs была усовершенствована, чтобы:
- Широко использоваться для кражи учетных данных и утечки данных
- Лучше заражать устройства и обходить автоматизированные меры безопасности
- Использовать метод living-off-the-land (LOTL) для маскировки своей активности
Ключевым компонентом этой атаки является библиотека More_eggs_Dropper, которая реализует полиморфизм сервера с целью генерации уникальных вредоносных данных для каждой загрузки. Эта библиотека генерирует запутанный код JavaScript, что усиливает обфускацию и затрудняет обнаружение вредоносной программы.
Инфраструктура и управление
Хакеры взаимодействуют с командно-контрольным сервером (C2) через анонимизированную облачную инфраструктуру, используя варианты поддоменов для затруднения отслеживания. После успешного запуска бэкдора More_eggs, вредоносная программа собирает информацию о системе жертвы и поддерживает связь с C2-сервером, используя удаленные команды для выполнения JavaScript или других исполняемых файлов.
Рекомендации по защите
Организациям настоятельно рекомендуется внедрить меры безопасности, направленные на обучение сотрудников, особенно в отделах кадров, которые наиболее подвержены открытию нежелательных вложений. Рекомендуемые меры предосторожности включают:
- Использование защищенных шлюзов электронной почты
- Внедрение решений для обнаружения конечных точек и реагирования на них (EDR)
- Создание механизмов отчетности о фишинге
- Регулярное тестирование сотрудников через имитируемые попытки фишинга
Также необходим постоянный мониторинг и проверка журналов на наличие признаков компрометации, что поможет снизить риск, связанный с деятельностью Venom Spider.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая угроза: Venom Spider атакует отделы кадров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.