コンテンツにスキップするには Enter キーを押してください

FIN6がAWSホスティングの偽履歴書をLinkedInで使用し、More_eggsマルウェアを配信

投稿日 2025年6月11日

Image

FIN6として知られる金銭目的の脅威アクターが、Amazon Web Services (AWS) インフラストラクチャにホスティングされた偽の履歴書を利用して、More_eggsというマルウェアファミリーを配信していることが観察されています。

「求職者を装い、LinkedInやIndeedのようなプラットフォームを通じて会話を開始することで、グループはリクルーターとの関係を築き、マルウェアにつながるフィッシングメッセージを配信します」とDomainTools Investigations (DTI) チームは、The Hacker Newsと共有されたレポートで述べています

More_eggsは、Golden Chickens(別名Venom Spider)と呼ばれる別のサイバー犯罪グループの作品で、最近ではTerraStealerV2やTerraLoggerのような新しいマルウェアファミリーに関連付けられています。JavaScriptベースのバックドアであり、資格情報の窃取、システムアクセス、ランサムウェアを含む後続の攻撃を可能にします。

このマルウェアの既知の顧客の一つがFIN6(別名Camouflage Tempest、Gold Franklin、ITG08、Skeleton Spider、TA4557)で、元々はホスピタリティや小売業界の販売時点管理(PoS)システムをターゲットにして、支払いカードの詳細を盗み、それを利用して利益を得ていました。2012年から活動しています。

このハッキンググループは、Magecart JavaScriptスキマーを使用して、金融情報を収集するためにeコマースサイトをターゲットにした歴史もあります。

支払いカードサービス会社Visaによると、FIN6は2018年からMore_eggsを初期段階のペイロードとして利用し、いくつかのeコマース業者に侵入し、チェックアウトページに悪意のあるJavaScriptコードを注入してカードデータを盗むことを最終目的としています。

「盗まれた支払いカードデータは後にグループによって収益化され、中間業者に販売されたり、2021年初頭に閉鎖される前にJokerStashのような市場で公開販売されます」とSecureworksは脅威アクターのプロファイルで述べています

FIN6の最新の活動は、LinkedInやIndeedのようなプロフェッショナルな求人プラットフォームでリクルーターと接触を開始し、求職者を装って履歴書をホストしているとされるリンク(例:bobbyweisman[.]com、ryanberardi[.]com)を配布するためのソーシャルエンジニアリングの使用を含んでいます。

DomainToolsは、個人のポートフォリオを装った偽のドメインがGoDaddyを通じて匿名で登録されており、帰属と削除の努力をより困難にするための追加の曖昧化レイヤーを提供していると述べています。

「GoDaddyのドメインプライバシーサービスを利用することで、FIN6は公の視界や削除チームから真の登録者情報をさらに隠しています」と同社は述べています。「GoDaddyは評判の良い広く使用されているドメインレジストラですが、その組み込みのプライバシー機能は脅威アクターが自分の身元を隠すのを容易にします。」

もう一つ注目すべき点は、AWS Elastic Compute Cloud (EC2) や S3 のような信頼できるクラウドサービスを使用してフィッシングサイトをホストすることです。さらに、これらのサイトには組み込みのトラフィックフィルタリングロジックがあり、CAPTCHAチェックを完了した後に履歴書をダウンロードするリンクが提供されるのは見込みのある被害者だけです。

「住宅用IPアドレスからのユーザーで、一般的なWindowsベースのブラウザを使用している場合のみ、悪意のあるドキュメントをダウンロードすることが許可されます」とDomainToolsは述べています。「訪問者が既知のVPNサービス、AWSのようなクラウドインフラストラクチャ、または企業のセキュリティスキャナーから来ている場合、サイトは代わりに無害なプレーンテキストバージョンの履歴書を提供します。」

ダウンロードされた履歴書はZIPアーカイブの形式をとり、開くと感染シーケンスがトリガーされ、More_eggsマルウェアを展開します。

「FIN6のSkeleton Spiderキャンペーンは、クラウドインフラストラクチャと高度な回避を組み合わせることで、低複雑性のフィッシングキャンペーンがどれほど効果的であるかを示しています」と研究者たちは結論付けました。「現実的な求人の誘いを使用し、スキャナーを回避し、CAPTCHAの壁の背後にマルウェアを隠すことで、多くの検出ツールを先回りしています。」

翻訳元: https://thehackernews.com/2025/06/fin6-uses-aws-hosted-fake-resumes-on.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です