Компания Arctic Wolf заметила рост активности у финансово мотивированной группы угроз Venom Spider, которая ведет кампанию, нацеленную на менеджеров по подбору персонала через фишинговые атаки.
Описание
Группа использует легитимные платформы для отправки фальшивых резюме с вредоносным бэкдором More_eggs, способным краденую информацию. Отмечены обновления, сделанные для более эффективного заражения и обхода безопасности. Компании рекомендуется обучать сотрудников распознавать фишинг, особенно в отделах, открывающих электронную почту регулярно.
Venom Spider переключил акцент с онлайн-платежей на отделы кадров через софистицированные фишинговые методы. Новая волна атак охватывает широкий спектр отраслей, включая розничную торговлю и аптеки, с целью создания фальшивых вакансий и распространения вредоносной программы. Отчет содержит анализ кампании и советы по борьбе с угрозой. Venom Spider продолжает эволюционировать свои тактики, нацеливаясь на специалистов по кадрам через фишинговые ссылки, шаблонные резюме и вредоносные загрузки.
Уязвимость в отделах кадров остается приоритетной для Venom Spider, который использует расширенные методы проникновения, включая серверный полиморфизм для доставки вредоносных полезных нагрузок. Группа злонамеренных хакеров применяет модульный бэкдор More_eggs для сбора информации и обхода безопасности. Venom Spider активно приспосабливается к изменяющейся среде, стремясь извлечь выгоду из финансовых мотивов и слабых мест в организациях, включая отделы кадров.
Индикаторы компрометации
IPv4
- 208.109.231.95
Domains
- doefstf.ryanberardi.com
- dtde.ryanberardi.com
- tool.municipiodechepo.org
URLs
- http://doefstf.ryanberardi.com
- http://doefstf.ryanberardi.com/ikskck
- http://dtde.ryanberardi.com
- http://dtde.ryanberardi.com/ikskck
- https://api.incapdns.kz/v1
- https://beta.w3.org.kz/release/info
- https://blog.jasonlees.com/latestnews/info
- https://cast.voxcdn.kz/yui/yui-min.js
- https://contactlistsagregator.com/j2378745678674623/ajax.php
- https://developer.master.org.kz/api/v1
- https://host.moresecurity.kz/host/info
- https://onlinemail.kz/version44/info
- https://report.monicabellucci.kz/295693495/info
- https://ssl.gstatic.kz/ui/v2
- https://stats.wp.org.kz/license.txt
- https://tool.municipiodechepo.org/id/243149
MD5
- 17158538b95777541d90754744f41f58
- 2da2f53ffd9969aa8004d0e1060d2ed1
- 46f142198eeeadc30c0b4ddfbf0b3ffd
- b1e8602e283bbbdf52df642dd460a2a2
- ebb5fb96bf2d8da2d9f0f6577766b9f1
- ec103191c61e4c5e55282f4ffb188156
SHA256
- 0af266246c905431e9982deab4ad38aaa63d33a725ff7f7675eb23dd75ca4d83
- 184788267738dfa09c82462821b1363dbec1191d843da5b7392ee3add19b06fb
- 2fef6c59fbf16504db9790fcc6759938e2886148fc8acab84dbd4f1292875c6c
- ccb05ca9250093479a6a23c0c4d2c587c843974f229929cd3a8acd109424700d
- f7a405795f11421f0996be0d0a12da743cc5aaf65f79e0b063be6965c8fb8016
- f873352564a6bd6bd162f07eb9f7a137671054f7ef6e71d89a1398fb237c7a7b