LinkedInの受信トレイにマルウェアが含まれている可能性があります
現在の不安定な経済は、かなりの数の人々に新しい仕事を探しさせています。それらの人々の多くはLinkedInを使用して新しい仕事の機会を探していますが、悪い俳優のグループは仕事を探すのを悪い時間にするために最善を尽くしています。
eSentireと協力しているセキュリティ研究者によって、新しい非常に手の込んだマルウェアキャンペーンが検出されました。ハッカーが使用するマルウェアは「more_eggs」と呼ばれ、ファイルのないバックドアであり、被害者のLinkedIn受信ボックスに送信される信頼できるフィッシングメッセージを通じて配布されます。
以前にキャンペーンを取り上げ、それを際立たせているのは、悪意のある俳優がフィッシングのルアーを可能な限り信頼できるように見せるために費やした大きな苦痛であると述べました。メッセージには、被害者の職種とまったく同じ名前の悪意のあるアーカイブファイル(通常はzip)が含まれていますが、eSentireが最初の発表の翌日に発表した完全なレポートで報告されているように、「position」という単語が追加されています。フィッシングキャンペーン。
キャンペーンの対象となったLinkedInユーザーが偽の求人を開くと、ファイルレスバックドアmore_eggsのサイレントインストールを開始します。バックドアは、キャンペーンの背後にいる脅威アクターが被害者のシステムに追加の悪意のあるファイルをダウンロードし、侵害されたシステムを制御できるようにするため、重大な脅威です。
eSentireの専門家は、マルウェアの背後にある脅威アクターをゴールデンチキンと呼ばれるエンティティとしてリストし、more_eggsマルウェアは彼らだけが操作するのではなく、それを使用したい他のハッカーにサービスパッケージとして販売されていると説明しています。 「サービスとしてのマルウェア」は新しい概念ではありません。
以前、脅威アクターがランサムウェアやその他の種類のマルウェアをサービスとして配布し、前払いまたはマルウェアを展開するサードパーティのハッカーによる利益の削減に反対しているのを見てきました。
More_eggsは、Windowsプロセスを乗っ取って使用し、それ自体を展開するため、重大な脅威です。これらの正当なプロセスには、スクリプトを使用して実行する関数が与えられています。マルウェアが被害者のシステム上で維持するプロファイルが低く、ファイルレスであり、正当なシステムプロセスを悪用しているため、マルウェアはCobalt Group、FIN6、Evilnumなどの悪名高い高度な持続的脅威グループの注目を集めています。
eSentireは、more_eggsマルウェアに関連する多数の脅威インジケーターを公開しています。最も注目すべきは、悪意のあるzipファイルのファイルハッシュとマルウェアが使用するダウンロードサーバーをリストしたことです。
サーバー:ec2-13-58-146-177.us-east-2.compute.amazonaws [。] com
More_eggs zipファイルハッシュ:776c355a89d32157857113a49e516e74
大規模な脅威アクターがmore_eggsマルウェアに関心を示しているという事実は、スピアフィッシングと呼ばれることもあるフィッシングへの高度にターゲットを絞ったアプローチがハッカーにとってうまく機能しているように見えることを示しています。