FIN6 黑客伪装求职者,入侵招聘专员设备
- 浏览次数 386
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络安全威胁组织FIN6近期采用新型社交工程攻击手段,通过伪装求职者身份瞄准招聘人员。该组织(又名“Skeleton Spider”)早期以攻陷POS系统窃取信用卡信息著称,2019年起拓展勒索软件攻击业务,近期通过投递“More_eggs”后门程序实施凭证窃取与系统入侵。
DomainTools最新报告显示,FIN6颠覆传统招聘诈骗模式,以虚假求职者身份通过LinkedIn和Indeed平台接触招聘专员。攻击者首先建立信任关系,继而发送含简历链接的专业钓鱼邮件。这些邮件包含需手动输入的URL(如bobbyweisman[.]com等匿名注册域名),攻击者使用AWS云服务托管规避安全工具检测。
攻击链包含精密规避机制:
- 实施环境指纹识别,拦截VPN/云连接及Linux/macOS访问者,仅向目标展示无害内容。
- 通过验证的受害者会遭遇虚假验证码环节,随后下载伪装成简历的ZIP压缩包。
- 压缩包内藏Windows快捷方式(LNK)文件,执行脚本下载“More_eggs”后门。
该后门由威胁组织“Venom Spider”开发,具备命令执行、凭证窃取、载荷投递等模块化功能。研究人员建议招聘从业者谨慎处理外部简历下载请求,企业应通过独立渠道核实求职者背景信息。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文