Amazon хранит их оружие, LinkedIn поставляет цели — новый уровень социальной инженерии от FIN6
NewsMakerЭто не письмо от соискателя — это резюме с бэкдором, и оно уже на вашем столе.
Финансово ориентированная хакерская группа FIN6 вновь напомнила о себе , развернув фишинговую кампанию с использованием фальшивых резюме, размещённых на инфраструктуре Amazon Web Services. Целью атаки стало распространение вредоносной программы More_eggs — инструмента, связанного с киберпреступной группировкой Golden Chickens (известной также как Venom Spider).
FIN6 , также известная под названиями Camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider и TA4557, действует с 2012 года. Её история началась с атак на системы точек продаж в гостиничной и розничной сферах с целью кражи данных платёжных карт. Позднее группа также использовала JavaScript-скиммеры Magecart для компрометации сайтов электронной коммерции и хищения финансовой информации.
На этот раз злоумышленники выбрали вектор атаки через профессиональные платформы, такие как LinkedIn и Indeed. Притворяясь соискателями, они выходили на связь с рекрутёрами, демонстрировали заинтересованность в вакансии и присылали ссылки на якобы личные сайты с резюме. В действительности по этим ссылкам находились ZIP-архивы, заражённые More_eggs.
Используемые домены (например, «bobbyweisman[.]com» и «ryanberardi[.]com») оформлялись через GoDaddy с включённой анонимной регистрацией. Благодаря этому усложнялась идентификация владельцев и блокировка ресурсов. Такие действия — стандартная практика FIN6 по уходу от слежки и реагирования.
More_eggs представляет собой JavaScript-бэкдор, способный обеспечивать скрытый доступ к системе, кражу учётных данных и запуск последующих атак — включая распространение программ-вымогателей. Хотя само вредоносное ПО создаётся группой Golden Chickens, FIN6 активно использует его как первичный инструмент проникновения, причём делает это, по данным Visa, как минимум с 2018 года.
Новая волна активности показывает заметное повышение уровня маскировки. Хакеры размещают вредоносные документы на сервисах AWS, в том числе EC2 и S3. Сайты снабжены логикой фильтрации трафика: потенциальной жертве сначала предлагается пройти CAPTCHA, после чего проверяется её IP-адрес и браузер. Только пользователям с домашними IP и обычными Windows-браузерами предлагается файл — все остальные получают безвредную версию резюме.
Такой подход затрудняет работу автоматических систем анализа и блокировки: корпоративные сканеры, VPN и облачные IP-адреса не видят ничего подозрительного. Это позволяет FIN6 эффективно избегать обнаружения и продлевать срок жизни своих кампаний.
По данным компании DomainTools, такая тактика — наглядный пример того, как простые фишинговые сценарии могут становиться крайне эффективными за счёт использования легитимной инфраструктуры и простейших, но действенных методов уклонения. Комбинация социальной инженерии, CAPTCHA-защиты и облачного хостинга превращает даже примитивные атаки в серьёзную угрозу.
Финансово ориентированная хакерская группа FIN6 вновь напомнила о себе , развернув фишинговую кампанию с использованием фальшивых резюме, размещённых на инфраструктуре Amazon Web Services. Целью атаки стало распространение вредоносной программы More_eggs — инструмента, связанного с киберпреступной группировкой Golden Chickens (известной также как Venom Spider).
FIN6 , также известная под названиями Camouflage Tempest, Gold Franklin, ITG08, Skeleton Spider и TA4557, действует с 2012 года. Её история началась с атак на системы точек продаж в гостиничной и розничной сферах с целью кражи данных платёжных карт. Позднее группа также использовала JavaScript-скиммеры Magecart для компрометации сайтов электронной коммерции и хищения финансовой информации.
На этот раз злоумышленники выбрали вектор атаки через профессиональные платформы, такие как LinkedIn и Indeed. Притворяясь соискателями, они выходили на связь с рекрутёрами, демонстрировали заинтересованность в вакансии и присылали ссылки на якобы личные сайты с резюме. В действительности по этим ссылкам находились ZIP-архивы, заражённые More_eggs.
Используемые домены (например, «bobbyweisman[.]com» и «ryanberardi[.]com») оформлялись через GoDaddy с включённой анонимной регистрацией. Благодаря этому усложнялась идентификация владельцев и блокировка ресурсов. Такие действия — стандартная практика FIN6 по уходу от слежки и реагирования.
More_eggs представляет собой JavaScript-бэкдор, способный обеспечивать скрытый доступ к системе, кражу учётных данных и запуск последующих атак — включая распространение программ-вымогателей. Хотя само вредоносное ПО создаётся группой Golden Chickens, FIN6 активно использует его как первичный инструмент проникновения, причём делает это, по данным Visa, как минимум с 2018 года.
Новая волна активности показывает заметное повышение уровня маскировки. Хакеры размещают вредоносные документы на сервисах AWS, в том числе EC2 и S3. Сайты снабжены логикой фильтрации трафика: потенциальной жертве сначала предлагается пройти CAPTCHA, после чего проверяется её IP-адрес и браузер. Только пользователям с домашними IP и обычными Windows-браузерами предлагается файл — все остальные получают безвредную версию резюме.
Такой подход затрудняет работу автоматических систем анализа и блокировки: корпоративные сканеры, VPN и облачные IP-адреса не видят ничего подозрительного. Это позволяет FIN6 эффективно избегать обнаружения и продлевать срок жизни своих кампаний.
По данным компании DomainTools, такая тактика — наглядный пример того, как простые фишинговые сценарии могут становиться крайне эффективными за счёт использования легитимной инфраструктуры и простейших, но действенных методов уклонения. Комбинация социальной инженерии, CAPTCHA-защиты и облачного хостинга превращает даже примитивные атаки в серьёзную угрозу.