FIN6 黑客假扮求职者，入侵目标组织HR部门

FIN6 黑客组织冒充求职者瞄准招聘人员，使用伪造的足以乱真的简历和钓鱼网站来传播恶意软件。

FIN6（又名“骷髅蜘蛛”）是一个黑客组织，最初以进行金融欺诈而闻名，包括入侵销售点 (PoS) 系统窃取信用卡信息。在 2019 年，该威胁组织将攻击范围扩大到勒索软件攻击，并加入了 Ryuk 和 Lockergoga 等勒索软件行动。

该组织最近利用社会工程活动来传播“ More Eggs”，这是一种恶意软件即服务的 JavaScript 后门，用于凭证盗窃、系统访问和勒索软件部署。

攻击过程

在DomainTools 的一份新报告中，研究人员详细介绍了 FIN6 如何通过冒充求职者来瞄准招聘人员。

他们伪装成虚假的求职者，通过 LinkedIn 和 Indeed 上的消息与招聘人员和人力资源部门联系，建立融洽的关系，然后再发送钓鱼电子邮件。

这些电子邮件都是专业制作的，其中包含指向其“简历网站”的不可点击的 URL，以逃避检测和阻止，迫使收件人在浏览器上手动输入它们。

发送给目标的电子邮件，来源：DomainTools

这些域名是通过 GoDaddy 匿名注册的，托管在 AWS 上，AWS 是一种值得信赖的云服务，通常不会被安全软件标记为恶意网址。

FIN6 还增加了环境指纹和行为检查，以确保只有他们的目标才能打开包含其专业投资组合的登陆页面。

VPN 或云连接以及从 Linux 或 macOS 访问的尝试被阻止，而是提供无害的内容。

符合条件的受害者会得到一个假的 CAPTCHA 步骤，然后他们会被提示下载一个 ZIP 档案，该档案据称包含一份简历，但实际上包含一个伪装的 Windows 快捷方式文件 (LNK)，该文件会执行脚本来下载“More Eggs”后门。

登陆页面上的验证码步骤，来源：DomainTools

More Eggs 由名为“Venom Spider”的黑客创建，是一个模块化后门，能够执行命令、窃取凭证、传递额外有效载荷以及执行 PowerShell。

FIN6 的攻击简单但非常有效，依赖于社会工程学和高级逃避技术。

招聘人员和人力资源员工应谨慎对待审查简历和作品集的邀请，尤其是当他们要求招聘人员访问外部网站下载简历时。

技术报告：

https://dti.domaintools.com/Skeleton-Spider-Trusted-Cloud-Malware-Delivery/

新闻链接：

https://www.bleepingcomputer.com/news/security/fin6-hackers-pose-as-job-seekers-to-backdoor-recruiters-devices/