Er is een spearphishing-e-mailcampagne waargenomen die zich richtte op recruiters met een JavaScript-achterdeur genaamd More_eggs, wat wijst op aanhoudende pogingen om de sector eruit te pikken onder het mom van valse sollicitanten.
“Een geavanceerd spearphishing-lokmiddel heeft een rekruteringsfunctionaris ertoe verleid een kwaadaardig bestand te downloaden en uit te voeren, vermomd als een cv, wat leidde tot een more_eggs achterdeurinfectie”, aldus Trend Micro-onderzoekers Ryan Soliven, Maria Emreen Viray en Fe Cureg in een analyse.
More_eggs, verkocht als Malware-as-a-Service (MaaS), is kwaadaardige software die wordt geleverd met mogelijkheden om inloggegevens over te hevelen, inclusief die gerelateerd aan online bankrekeningen, e-mailaccounts en IT-beheerdersaccounts.
Het wordt toegeschreven aan een bedreigingsacteur genaamd de Golden Chickens-groep (ook bekend als Venom Spider), en is in gebruik genomen door verschillende andere e-crime-groepen zoals FIN6 (ook bekend als ITG08), Cobalt en Evilnum.
Eerder dit jaar maakte eSentire details bekend van een soortgelijke aanval waarbij LinkedIn wordt gebruikt als distributievector voor valse CV’s die worden gehost op een door de aanvaller gecontroleerde site. De bestanden zijn in werkelijkheid Windows-snelkoppelingsbestanden (LNK) die bij het openen de infectiesequentie activeren.
De nieuwste bevindingen van Trend Micro duiden op een lichte afwijking van het eerder waargenomen patroon, in die zin dat de bedreigingsactoren een spearphishing-e-mail stuurden in een waarschijnlijke poging om vertrouwen op te bouwen en hun vertrouwen te winnen. De aanval werd eind augustus 2024 waargenomen en was gericht op een talentzoeker die in de technische sector werkte.
“Kort daarna downloadde een rekruteringsfunctionaris een zogenaamd cv, John Cboins.zip, van een URL met behulp van Google Chrome”, aldus de onderzoekers. “Er is niet vastgesteld waar deze gebruiker de URL vandaan heeft gehaald. Uit de activiteiten van beide gebruikers bleek echter duidelijk dat ze op zoek waren naar een inside sales engineer.”
De URL in kwestie, johncboins(.)com, bevat een knop “CV downloaden” om het slachtoffer te verleiden een ZIP-archiefbestand te downloaden dat het LNK-bestand bevat. Het is vermeldenswaard dat de door eSentire gerapporteerde aanvalsketen ook een identieke site omvat met een vergelijkbare knop die het LNK-bestand rechtstreeks downloadt.
Dubbelklikken op het LNK-bestand resulteert in de uitvoering van versluierde opdrachten die leiden tot de uitvoering van een kwaadaardige DLL, die op zijn beurt verantwoordelijk is voor het laten vallen van de achterdeur van More_eggs via een opstartprogramma.
More_eggs begint zijn activiteiten door eerst te controleren of het met beheerders- of gebruikersrechten draait, gevolgd door het uitvoeren van een reeks opdrachten om verkenning van de aangetaste host uit te voeren. Vervolgens stuurt het een commando-en-controleserver (C2) om secundaire malware-payloads te ontvangen en uit te voeren.
Trend Micro zei dat het een andere variant van de campagne heeft waargenomen die PowerShell- en Visual Basic Script (VBS)-componenten bevat als onderdeel van het infectieproces.
“Het toeschrijven van deze aanvallen is een uitdaging vanwege de aard van MaaS, die de uitbesteding van verschillende aanvalscomponenten en infrastructuur mogelijk maakt”, aldus het rapport. “Dit maakt het moeilijk om specifieke bedreigingsactoren op te sporen, omdat meerdere groepen dezelfde toolkits en infrastructuur kunnen gebruiken die worden aangeboden door diensten zoals die aangeboden door Golden Chickens.”
Dat gezegd hebbende, wordt vermoed dat de aanval het werk van FIN6 zou kunnen zijn, merkte het bedrijf op, daarbij verwijzend naar de gebruikte tactieken, technieken en procedures (TTP’s).
De ontwikkeling komt weken nadat HarfangLab licht heeft geworpen op PackXOR, een privéverpakker die door de cybercriminaliteitsgroep FIN7 wordt gebruikt om de AvNeutralizer-tool te versleutelen en te verdoezelen.
Het Franse cyberbeveiligingsbedrijf zei dat het zag dat dezelfde packer werd gebruikt om “niet-gerelateerde ladingen te beschermen”, zoals de XMRig cryptocurrency miner en de r77 rootkit, waardoor de mogelijkheid ontstond dat deze ook door andere bedreigingsactoren zou kunnen worden gebruikt.
“PackXOR-ontwikkelaars kunnen inderdaad verbonden zijn met het FIN7-cluster, maar de packer lijkt te worden gebruikt voor activiteiten die geen verband houden met FIN7”, aldus HarfangLab.
