Группировка Skeleton Spider, также известная как FIN6, продолжает совершенствовать свои методы атаки, используя социальную инженерию и облачные сервисы для распространения вредоносного ПО. Изначально известная как оператор POS-взломов и краж платежных данных, FIN6 теперь переключилась на более масштабные атаки, включая ransomware-кампании.
Описание
Одним из ключевых инструментов группы стал backdoor more_eggs, который доставляется через фишинговые письма, маскирующиеся под резюме соискателей. Атака начинается не с электронной почты, а с платформ для поиска работы, таких как LinkedIn и Indeed. FIN6 создает фальшивые профили, вступает в диалог с рекрутерами, а затем отправляет фишинговые сообщения с якобы прикрепленным резюме.
Чтобы обойти автоматические системы защиты, злоумышленники не используют кликабельные ссылки. Вместо этого жертвам предлагается вручную ввести адрес в браузере, например, «elizabethabarton. COM» (с пробелом перед доменом). Такие домены регистрируются через GoDaddy с включенной функцией анонимности, что затрудняет их блокировку.
Для хостинга вредоносных страниц FIN6 активно использует облачные сервисы, в частности AWS. Это позволяет злоумышленникам маскировать инфраструктуру, снижать затраты и обходить корпоративные фильтры. На поддельных сайтах размещаются резюме, но доступ к вредоносному содержимому открывается только при соблюдении строгих условий: посетитель должен заходить с «чистого» IP (не из облачных сервисов или VPN), использовать Windows и пройти CAPTCHA.
Если условия выполнены, жертве предлагается скачать ZIP-архив с вредоносным LNK-файлом, который запускает JavaScript-бэкдор more_eggs. Этот инструмент позволяет злоумышленникам красть учетные данные, получать доступ к системе и развертывать дополнительные угрозы, включая ransomware.
Исследователи отмечают, что FIN6 продолжает адаптироваться, используя доверие к облачным платформам и социальную инженерию для повышения эффективности атак. Компаниям рекомендуется усилить проверку входящих сообщений, обучать сотрудников распознаванию фишинга и внедрять многофакторную аутентификацию для снижения рисков.
Индикаторы компрометации
IPv4
- 208.109.231.95
- 3.93.182.255
Domains
- tool.municipiodechepo.org
URLs
- http://93f4f4.bobbyweisman.com/kakfgar
- http://bobbyweisman.com
- http://bobbyweisman.com/index.html
- https://6f4922f4.bobbyweisman.com/brake/
- https://tool.municipiodechepo.org/id/
SHA256
- 14e722855605ba78dc1d21153f0e1be90e7528149f2cd2d7d6eba8ef27534bdc
- 8b67eb5c3586b427fd71310c1a0e6c92c35497342afcc0533e5bd97b7b572185
- 9f940783a6bbeaca52308b32e7bc0060222f3705c2db2ab00f59c6615e5e577f
- c2c40859f5d589538b6c16d654373b696c48e0be9092b56a57d2cf6ce768e1fe
