La dernière campagne de FIN6 combine la création de relations professionnelles avec une livraison de logiciels malveillants hébergée par le cloud pour cibler les opérations RH sensibles.
Le groupe de cybercriminalité à motivation financière FIN6, également connu sous le nom de Skeleton Spider, cible les professionnels des ressources humaines avec un programme élaboré d’ingénierie sociale qui utilise de fausses applications d’emploi pour fournir des logiciels malveillants, selon de nouvelles recherches d’analystes de la sécurité.
La campagne commence avec des attaquants se faisant passer pour des demandeurs d’emploi sur des plates-formes professionnelles comme LinkedIn et, en fait, établir des relations avec les recruteurs avant de suivre les e-mails de phishing contenant des liens de CV malveillants, ont déclaré les chercheurs de la société de cybersécurité, Domaintools.
L’opération sophistiquée tire parti de la confiance inhérente entre les demandeurs d’emploi et les professionnels des RH pour contourner les mesures de sécurité traditionnelles.
« En se faisant passer pour des demandeurs d’emploi et en initier des conversations via des plates-formes comme LinkedIn et, en effet, le groupe établit des relations avec les recruteurs avant de livrer des messages de phishing qui conduisent à des logiciels malveillants », a déclaré Domaintools dans son rapport.
Les attaques représentent une escalade importante dans les tactiques d’ingénierie sociale, exploitant l’écosystème de réseautage professionnel sur lequel des millions de recruteurs comptent quotidiennement.
Contrairement aux campagnes traditionnelles de phishing de masse, ces attaques ciblées nécessitent une reconnaissance et une planification considérables, indiquant l’engagement du groupe envers les cibles de plus grande valeur.
Infrastructure cloud masque l’activité malveillante
Ce qui distingue cette campagne, c’est l’utilisation sophistiquée des services cloud de confiance par FIN6, en particulier les services Web d’Amazon (AWS), pour héberger leur infrastructure malveillante et éluder la détection.
Les attaquants enregistrent des domaines qui imitent les vrais noms de candidats – comme Bobbyweisman (.) Com et Ryanberardi (.) Com – généralement par le biais des services d’enregistrement anonymes de GoDaddy. Ces domaines sont ensuite mappés sur des instances AWS EC2 ou des sites statiques hébergés par S3 conçus pour ressembler à des portefeuilles de CV légitimes.
« FIN6 héberge ses sites de phishing en utilisant des infrastructures cloud de confiance, y compris AWS », ont noté les chercheurs dans le rapport. «Ces plateformes sont attrayantes pour les attaquants en raison de la facilité de configuration à l’aide de services tels que EC2 et S3, à faible coût avec une abus de niveau libre ou une utilisation de comptes de facturation compromis et des gammes IP cloud qui sont souvent implicitement fiables par les filtres de réseau d’entreprise.»
Une fois contactée sur les résultats de la recherche, un porte-parole de l’AWS a déclaré que la société «a des termes clairs qui obligent nos clients à utiliser nos services conformément aux lois applicables. Lorsque nous recevons des rapports de violations potentielles de nos termes, nous agissons rapidement pour examiner et prendre des mesures pour désactiver le contenu interdit.
LinkedIn et n’a en effet pas répondu aux demandes de commentaires.
Techniques d’évasion avancées
Les faux sites de curriculum vitae utilisent un filtrage de trafic sophistiqué pour faire la distinction entre les victimes potentielles et les chercheurs en sécurité, la vérification de la réputation IP, la géolocalisation, l’empreinte digitale du système d’exploitation et les cordes d’agent utilisateur du navigateur.
Seuls les visiteurs des adresses IP résidentielles à l’aide de navigateurs Windows peuvent accéder à un contenu malveillant, tandis que le trafic provenant de VPN, d’infrastructure cloud ou de scanners de sécurité d’entreprise reçoit à la place des curriculum vitae en texte simple inoffensif.
« Ces filtres en couches garantissent que le contenu malveillant n’est livré qu’aux recruteurs humains réels parcourant des configurations typiques d’accueil ou de bureau, tout en bloquant les scanners de sécurité et les robots automatisés », indique le rapport.
Les sites nécessitent également une vérification CAPTCHA pour confirmer la présence humaine avant de livrer des fichiers zip malveillants contenant la porte dérobée More_Eggs, un logiciel malveillant basé sur JavaScript développé par le groupe Spider Venom.
Des violations POS aux ransomwares d’entreprise
FIN6 a évolué considérablement depuis ses débuts, ciblant les systèmes de point de vente pour le vol de carte de paiement. Le groupe s’est étendu à des menaces d’entreprise plus larges, y compris les opérations de ransomwares, ce qui en fait une préoccupation persistante pour les organisations de toutes les industries.
Le changement vers le ciblage des services RH représente un pivot stratégique, car ces équipes gèrent souvent les données sensibles des employés et ont des raisons légitimes d’interagir avec des contacts externes.
Le malware More_Eggs permet un vol d’identification, un accès au système et des attaques de suivi. Une fois déployé, il peut exécuter des commandes, voler des informations d’identification et servir de pied pour le déploiement des ransomwares.
« More_eggs est une porte dérobée JavaScript modulaire offerte en tant que logiciels malveillants en tant que service qui permet l’exécution des commandes, le vol d’identification et la livraison de charge utile de suivi, fonctionnant souvent en mémoire pour échapper à la détection », a expliqué les chercheurs.
L’efficacité des tactiques simples
La campagne montre à quel point les techniques de phishing ciblées peuvent être efficaces lorsqu’elles sont combinées avec des infrastructures cloud et des méthodes d’évasion sophistiquées. Le succès de ces attaques met en évidence le défi en cours auxquels les organisations sont confrontées à la défense contre les menaces qui exploitent la psychologie humaine plutôt que les vulnérabilités techniques.
« La campagne Skeleton Spider de FIN6 montre à quel point les campagnes de phishing à faible complexité peuvent être efficaces lorsqu’ils sont associés à des infrastructures cloud et à une évasion avancée », indique le rapport. «En utilisant des leurres d’emploi réalistes, en contournant les scanners et en cachant des logiciels malveillants derrière les murs Captcha, ils restent en avance sur de nombreux outils de détection.»
La recherche souligne l’importance des programmes de formation complets pour le personnel RH, qui sont de plus en plus ciblés par les cybercriminels en raison de leur interaction régulière avec les contacts externes et la manipulation des communications non sollicitées. Les organisations devraient envisager de mettre en œuvre des procédures de vérification supplémentaires pour les soumissions de CV et les communications externes.
Il est conseillé aux équipes de sécurité de mettre en œuvre des défenses en couches et de maintenir la vigilance pour des modèles de trafic inhabituels ou des types de fichiers qui pourraient indiquer des compromis. L’abus de services cloud légitimes soulève également des questions sur l’équilibre entre l’accessibilité et la sécurité dans la conception de la plate-forme cloud.
Les résultats suggèrent que les approches traditionnelles de sécurité du périmètre peuvent être insuffisantes contre ces tactiques d’ingénierie sociale en évolution, obligeant les organisations à adopter des stratégies de sécurité plus holistiques qui expliquent les facteurs humains aux côtés des défenses technologiques.
