С октября 2023 года TA4557 атакует рекрутеров с помощью прямых электронных писем, которые приводят к доставке вредоносного ПО. Первоначальные письма доброкачественные и выражают интерес к открытой вакансии. Если цель отвечает, начинается цепочка атак.
TA4557 использовал как новый метод прямых писем рекрутерам, так и более старую технику подачи заявок на вакансии, размещенные на общедоступных досках объявлений, чтобы начать цепочку атак. Как только получатель отвечает на первое письмо, в ответ на него приходит URL-адрес, ведущий на контролируемый агентом веб-сайт, выдаваемый за резюме кандидата. Если потенциальные жертвы посещают "персональный сайт" по указанию агента угроз, страница имитирует резюме кандидата или сайт вакансий для кандидата (TA4557), претендующего на опубликованную роль. Веб-сайт использует фильтрацию, чтобы определить, направлять ли пользователя на следующий этап цепочки атак. Если потенциальная жертва не проходит проверку фильтрации, она попадает на страницу, содержащую резюме в виде обычного текста. В противном случае, если пользователь прошел проверку фильтрации, он попадает на сайт кандидата.
На сайте кандидата используется CAPTCHA, заполнение которой инициирует загрузку zip-файла, содержащего файл ярлыка (LNK). LNK, если его выполнить, злоупотребляет законными функциями программного обеспечения в "ie4uinit.exe" для загрузки и выполнения скрипта из места, хранящегося в файле "ie4uinit.inf". Эта техника широко известна как "Жизнь за счет земли" (LOTL). Скрипт расшифровывает и сбрасывает DLL в папку %APPDATA%.
Indicators of Compromise
Domains
- annetterawlings.com
- wlynch.com
SHA256
- 010b72def59f45662150e08bb80227fe8df07681dcf1a8d6de8b068ee11e0076
- 6ea619f5c33c6852d6ed11c52b52589b16ed222046d7f847ea09812c4d51916d
- 9d9b38dffe43b038ce41f0c48def56e92dba3a693e3b572dbd13d5fbc9abc1e4