СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#Dev#ИБ#Инфра#Облака

Новая угроза: Venom Spider атакует отделы кадров

Новая угроза: Venom Spider атакует отделы кадров

Источник: arcticwolf.com

Компания Arctic Wolf Labs представила отчет о новой целевой кампании, проводимой финансово мотивированной хакерской группой Venom Spider. Основная цель атак – отделы кадров различных организаций, которые становятся жертвами фишинговых электронных писем с поддельными резюме.

Методы атаки

Злоумышленники используют законные сервисы обмена сообщениями и платформы для трудоустройства, чтобы привлекать потенциальные жертвы, исследуя потребности компаний в заполнении вакансий. Атака начинается с фишингового письма, содержащее ссылку на загрузку предположительно законного резюме. Пройдя по этой ссылке, жертвы попадают на сайт под контролем хакеров, где им предлагается ввести CAPTCHA для загрузки ZIP-файла с вредоносным содержимым.

Усложненная вредоносная программа More_eggs

Вредоносная программа More_eggs была усовершенствована, чтобы:

  • Широко использоваться для кражи учетных данных и утечки данных
  • Лучше заражать устройства и обходить автоматизированные меры безопасности
  • Использовать метод living-off-the-land (LOTL) для маскировки своей активности

Ключевым компонентом этой атаки является библиотека More_eggs_Dropper, которая реализует полиморфизм сервера с целью генерации уникальных вредоносных данных для каждой загрузки. Эта библиотека генерирует запутанный код JavaScript, что усиливает обфускацию и затрудняет обнаружение вредоносной программы.

Инфраструктура и управление

Хакеры взаимодействуют с командно-контрольным сервером (C2) через анонимизированную облачную инфраструктуру, используя варианты поддоменов для затруднения отслеживания. После успешного запуска бэкдора More_eggs, вредоносная программа собирает информацию о системе жертвы и поддерживает связь с C2-сервером, используя удаленные команды для выполнения JavaScript или других исполняемых файлов.

Рекомендации по защите

Организациям настоятельно рекомендуется внедрить меры безопасности, направленные на обучение сотрудников, особенно в отделах кадров, которые наиболее подвержены открытию нежелательных вложений. Рекомендуемые меры предосторожности включают:

  • Использование защищенных шлюзов электронной почты
  • Внедрение решений для обнаружения конечных точек и реагирования на них (EDR)
  • Создание механизмов отчетности о фишинге
  • Регулярное тестирование сотрудников через имитируемые попытки фишинга

Также необходим постоянный мониторинг и проверка журналов на наличие признаков компрометации, что поможет снизить риск, связанный с деятельностью Venom Spider.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: