新型攻击手法曝光
以经济利益为驱动的威胁组织FIN6(又称Camouflage Tempest、Gold Franklin等)近期被发现利用亚马逊云服务(AWS)基础设施托管虚假简历,传播名为More_eggs的恶意软件家族。DomainTools调查团队(DTI)向《黑客新闻》提供的报告显示:"该组织通过伪装求职者在LinkedIn等平台与招聘人员建立联系后,发送包含恶意软件的钓鱼信息。"
恶意软件技术分析
More_eggs是由另一个名为Golden Chickens(又称Venom Spider)的网络犯罪组织开发的JavaScript后门程序,近期还被用于传播TerraStealerV2和TerraLogger等新型恶意软件。该恶意软件具备凭证窃取、系统访问及后续攻击(包括勒索软件)的能力。
FIN6组织自2012年开始活跃,最初专门针对酒店和零售业的POS系统窃取支付卡信息。据支付卡服务公司Visa披露,该组织早在2018年就将More_eggs作为初始攻击载荷,入侵多家电商商户并在结账页面注入恶意JavaScript代码以窃取银行卡数据。安全公司Secureworks指出:"窃取的支付卡数据会被该组织变现,通过中间商转售或在JokerStash等暗网市场公开出售(该市场已于2021年初关闭)。"
精心设计的攻击链
FIN6最新攻击活动采用社交工程手段,在LinkedIn等专业招聘平台冒充求职者联系招聘人员,诱导其点击看似个人简历的链接(如bobbyweisman[.]com、ryanberardi[.]com等)。这些通过GoDaddy匿名注册的虚假域名伪装成个人作品集,利用注册商隐私保护服务隐藏真实注册信息,增加了追踪和关停难度。
值得注意的是,攻击者使用AWS EC2或S3等可信云服务托管钓鱼网站,并内置流量过滤机制:仅当访问者使用住宅IP地址和常见Windows浏览器时,才会在通过验证码检查后显示恶意简历下载链接。DomainTools强调:"来自已知VPN服务、AWS等云基础设施或企业安全扫描器的访问者,只会看到无害的纯文本简历版本。"
安全防御建议
下载的简历实为ZIP压缩包,解压后会触发感染流程部署More_eggs恶意软件。研究人员总结称:"FIN6的Skeleton Spider行动表明,当低复杂度钓鱼攻击与云基础设施和高级规避技术结合时,能产生惊人效果。通过使用逼真的求职诱饵、绕过扫描检测以及将恶意软件隐藏在验证码墙后,他们成功规避了许多检测工具。"