В ходе атак группировка Golden Chickens использует бесфайловый бэкдор more_eggs.
Фишеры вовсю нацелились на безработных пользователей LinkedIn, предлагая им несуществующие должности и заражая их компьютеры вредоносным ПО. Как сообщают специалисты ИБ-компании eSentire, злоумышленники создают фиктивные предложения работы с использованием названий должностей, взятых из профилей атакуемых работников, в попытке заставить их открыть и выполнить вредоносные файлы или нажать на вредоносные ссылки.
В ходе атак (преимущественно на специалистов в области медицинских технологий) группировка Golden Chickens использует инструмент, известный как more_eggs – бесфайловый бэкдор, состоящий из запускаемого в памяти скрипта и обращающийся к различным функциям системы для компрометации атакуемого компьютера. В последнем варианте мошеннической схемы используется вредоносный ZIP-архив, названный именем жертвы, указанным ею в LinkedIn, а также LNK-файл для выполнения.
«Персонализация и усилия, прилагаемые группой для того, чтобы создать убедительную приманку, имеют большое значение. Многие используемые ею методы не новы и ранее уже использовались другими группами, но сейчас они являются ярким примером того, на что готовы пойти злоумышленники ради создания правдоподобной приманки», – сообщил старший директор команды по реагированию на киберугрозы eSentire Rob McLeod (Роб Маклеод).
Атака не является новой – в 2019 году специалисты ИБ-компании Proofpoint рассказывали об аналогичных атаках с использованием более старой версии бэкдора more_eggs. Злоумышленники создавали фальшивый профиль в LinkedIn и через него связывались с потенциальными жертвами, а затем отправляли им по электронной почте сообщения с вредоносными вложениями или ссылками. Иногда злоумышленники ждали целую неделю, прежде чем перейти к следующему этапу атаки.
Текущая вредоносная кампания, похоже, представляет собой сервис «доступ по заказу», когда киберпреступники взламывают корпоративные компьютерные системы, а затем либо продают доступ третьим лицам, либо устанавливают вредоносные программы по выбору своего клиента.
Согласно eSentire, в прошлом бэкдор more_eggs был связан с группой финансово мотивированных хакеров FIN6, другой группой финансовых угроз.
Гравитация научных фактов сильнее, чем вы думаете