俄罗斯黑客模仿求职者窃取数据

HackerNews 编译，转载请注明出处：

Proofpoint 网络安全公司获悉，一名疑似俄罗斯黑客正在通过电子邮件模仿求职者，从潜在雇主那里窃取有价值的数据。

该组织的新策略被分析师标记为 TA4557，标志着与之前观察到的在招聘公告板上上传虚假申请的策略背道而驰。

Proofpoint自2018年以来一直在跟踪这个团队，Proofpoint表示，“在最近观察到的活动中，TA4557不仅使用了直接通过电子邮件联系招聘人员的新方法，还使用了在公共招聘公告板上发布职位的旧技巧来启动攻击链”。

上当受骗的企业和其他组织最终会将他们的计算机系统暴露给跟踪其机器的恶意软件，并可能为进一步利用漏洞窃取有价值的数据铺平道路。

Proofpoint最近观察到的活动似乎是俄罗斯附属组织针对雇主的持续运动中的最新一次。2021年，在FBI发布警告称黑客正在利用在线招聘市场作为攻击途径后，Proofpoint在2021年发布了关于TA4557活动的类似警告。

新版本的攻击似乎应用了更个性化的风格，通过精心模仿求职信电子邮件和求职者简介，引诱粗心的雇主激活恶意软件，窃取数据并密切关注他们的机器。

Proofpoint表示：“在使用新的直接电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会观察到黑客使用链接到黑客控制的网站的URL，假冒作为求职者简历”。

Proofpoint 发现的 TA4557 使用的另一种方法是回复另一封包含 PDF 或 Word 附件的电子邮件，其中包含指示目标访问假简历网站的指令。

Proofpoint在上个月观察到的一种活动策略，涉及在初始电子邮件中引导目标“通过我的电子邮件地址的域名来访问我的个人作品集”，而不是在后续回复中直接发送简历网站的URL。

Proofpoint分析认为，这种专门针对网上公布的真实职位空缺并通过电子邮件实施的策略，其目的是在欺诈者与目标对象之间建立更深层次的联系，以便更有说服力地欺骗他们。

Proofpoint表示：“电子邮件的语气和内容让收件人觉得黑客是一个合法的候选人，因为黑客专门针对招聘和雇佣工作的人员，这些电子邮件并不立即显得可疑。”

它补充说，为了保持灵活性并领先于调查人员一步，TA4557经常更改发送者电子邮件、假简历域名和其他支持基础设施。

在基本机制方面，网络攻击通过一系列操作进行。

Proofpoint说：“候选人网站使用了一个验证码，如果完成，将启动一个包含快捷方式文件（LNK）的zip文件的下载。”

然后，LNK“滥用合法软件功能”下载并执行安装后门的特殊代码，这是一种非法访问目标系统的方法，称为“More_Eggs”，“可用于建立持久性、分析机器并删除额外的有效载荷。”

工作完成后，代码会自行删除，进一步帮助掩盖黑客的踪迹。

Proofpoint 敦促未来的雇主更加警惕，并指示员工在招聘更多员工时要谨慎行事。

报告称：“使用第三方招聘网站的组织应该了解该黑客的策略、技术和程序，并对员工，特别是负责招聘和聘用职能的员工进行有关这一威胁的教育。”

消息来源：cybernews，译者：Claire；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文