Платформа LinkedIn уже давно стала излюбленным инструментом для группы TA4557.
Как стало известно из последнего отчета компании Proofpoint , опубликованного 12 декабря, таинственная киберпреступная группировка TA4557 с октября текущего года атакует рекрутеров, используя изощренные методы и вредоносные программы.
Согласно результатам исследований, злоумышленники рассылают HR-менеджерам прямые электронные письма со ссылкой на поддельные резюме. Внешне эти письма выглядят абсолютно безобидными: они имитируют заинтересованность кандидата в открытой вакансии. Однако после ответа рекрутера активируется цепочка хитроумной многоступенчатой кибератаки.
Известно, что TA4557 — это киберпреступная группировка, мотивированная финансовой выгодой. Ранее они специализировались на распространении бэкдора More_Eggs, нацеленной на пользователей платформы LinkedIn. На протяжении 2022 и 2023 годов злоумышленники откликались на реально существующие вакансии и внедряли вредоносные ссылки в резюме соискателей.
В последних кампаниях они дополнили свою тактику, но от старой схемы не отказались. Цель атак — получение доступа к ценным данным и корпоративным системам — остается неизменной.
Злоумышленники создают целевые сайты, имитирующие платформы для поиска работы. Эти ресурсы выглядят правдоподобно, так что рекрутеры не подозревают об опасности.
После перехода на поддельный сайт жертву просят пройти серию тестов и проверок, якобы для заполнения профиля и поиска подходящих кандидатов. На самом деле каждый такой тест незаметно продвигает атаку на новый этап.
Когда все проверки пройдены, пользователя перенаправляют на страницу с резюме в текстовом виде или профиль конкретного кандидата. Там под видом капчи запускается загрузка вредоносного файла с расширением .LNK. Этот файл использует уязвимости легитимных программ для выполнения PowerShell-скрипта LOTL (Living Off The Land).
Запущенный скрипт выполняет дешифровку и инициализацию основной вредоносной программы. Она устанавливает бэкдор More_Eggs и создаёт скрытый процесс MSXSL, маскируясь под стандартные системные службы.
Ранее исследователи отмечали сходство методов этой группы с кампаниями таких известных киберпреступных банд как FIN6, Cobalt Group и Evilnum.
Также эксперты отмечают, что TA4557 регулярно меняет свои инструменты — электронные адреса отправителей, домены поддельных сайтов, инфраструктуру для управления вредоносным ПО. Это существенно затрудняет своевременное обнаружение и блокировку атак со стороны систем защиты.
В связи с этим, компаниям, которые используют сторонние интернет-сервисы для поиска и найма персонала, настоятельно рекомендуется изучить описанную тактику группировки TA4557. А также провести дополнительное обучение сотрудников в HR-отделах.
Сбалансированная диета для серого вещества