СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.10.2025
#ИБ#ИИ#Облака

UNC6229: фишинговая кампания через поддельные вакансии в цифровой рекламе

UNC6229: фишинговая кампания через поддельные вакансии в цифровой рекламе

Источник: cloud.google.com

Группа финансово мотивированных злоумышленников, известная как UNC6229, проводит долгосрочную кампанию социальной инженерии, нацеленную на сотрудников цифровой рекламы и маркетинга. Атакующие привлекают жертв через поддельные объявления о работе и затем компрометируют корпоративные аккаунты, прежде всего рекламные.

Как работает кампания

Методология атакаторов представляет собой хорошо продуманную цепочку этапов, каждый из которых направлен на снижение подозрений и повышение вероятности успешного захвата учетных данных:

  • Создание мошеннических профилей — злоумышленники регистрируют фальшивые компании, часто выдающие себя за агентства цифровых медиа, и размещают привлекательные вакансии на легитимных площадках по трудоустройству и на собственных сайтах.
  • Первичный контакт — жертвы откликаются на вакансии; далее UNC6229 связывается с ними по электронной почте или через direct‑сообщения. Для массовых рассылок иногда используются коммерческие CRM-инструменты.
  • Установление доверия — предварительная переписка намеренно минимализирует «красные флаги»: отсутствуют сложные привязки, ссылки на сомнительные источники и прочие явные признаки фишинга, чтобы общение выглядело безобидным.
  • Доставка полезной нагрузки — ключевой этап, когда жертве отправляют вложение с вредоносным ПО или ссылку на фишинговую страницу, имитирующую легитимные процессы для получения корпоративных учетных данных.

«Ключевым этапом кампании является доставка полезной нагрузки, когда злоумышленники отправляют либо вложение, содержащее вредоносное ПО, либо ссылку, направляющую жертв на страницы фишинга.»

TTP и инфраструктура злоумышленников

Принадлежность инцидентов к UNC6229 подтверждается повторяющимся использованием схожих TTP (тактик, методов и процедур). Это указывает на организационную среду, где происходит обмен инструментами и стратегиями, а также на стандартизированные рабочие процессы при подготовке фейковых вакансий и рассылок.

Отдельно стоит отметить тенденцию злоупотребления легальными SaaS- и CRM-платформами: эти сервисы используются для масштабной доставки сообщений и усложняют задачу обнаружения атак традиционными средствами безопасности.

Последствия и прогноз

Основные риски кампании UNC6229:

  • Компрометация корпоративных аккаунтов цифровой рекламы с возможностью кражи бюджета, размещения нежелательного контента или последующей перепродажи доступа.
  • Снижение эффективности традиционных механизмов обнаружения из‑за использования легитимных сервисов (SaaS, CRM) и правдоподобного социального инжиниринга.
  • Вероятное расширение фокуса атаки на другие отрасли, где сотрудники имеют доступ к ценным корпоративным активам.

Устойчивый характер кампании свидетельствует о том, что UNC6229 будет продолжать совершенствовать тактику социальной инженерии, делая атаки все более изощренными и трудно детектируемыми.

Что рекомендуется организациям и сотрудникам

  • Проводить регулярные обучения сотрудников по распознаванию фишинга и проверке вакансий — особенно в индустриях digital и marketing.
  • Внедрять многофакторную аутентификацию (MFA) и предпочтительно использовать phishing‑resistant методы MFA там, где возможна защита корпоративных учетных записей.
  • Ограничивать автоматические рассылки и интеграции CRM, контролировать использование внешних SaaS-сервисов и мониторить аномалии в рассылках.
  • Настроить фильтрацию вложений и ссылок, использовать песочницы для проверки подозрительных файлов и защищать рекламные аккаунты с помощью мониторинга привилегий и логов доступа.

Вывод

Кампания UNC6229 — пример того, как злоумышленники грамотно используют человеческие ожидания и спрос на работу, чтобы обойти технические барьеры и получить доступ к ценным корпоративным ресурсам. Пока социальная инженерия остается эффективным инструментом, организации должны сочетать обучение персонала, строгие политики доступа и технические средства обнаружения, чтобы снижать риски подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: