Eine neue Reihe von Phishing-Angriffen mit der more_eggs-Malware wurde beobachtet, die Personalverantwortliche in Unternehmen mit gefälschten Lebensläufen als Infektionsvektor angreifen – ein Jahr, nachdem potenzielle Kandidaten, die auf LinkedIn nach Arbeit suchten, mit bewaffneten Jobangeboten gelockt wurden.
„In diesem Jahr hat die more_eggs-Operation das Social-Engineering-Drehbuch umgedreht und zielt nun auf Personalverantwortliche mit gefälschten Lebensläufen ab, anstatt auf Arbeitssuchende mit gefälschten Jobangeboten“, so Keegan Keplinger, Leiter der Forschungs- und Berichterstattungsabteilung bei eSentire, in einer Stellungnahme.
Das kanadische Cybersicherheitsunternehmen hat nach eigenen Angaben vier separate Sicherheitsvorfälle identifiziert und gestoppt, von denen drei Ende März stattfanden. Zu den betroffenen Unternehmen gehören ein Luft- und Raumfahrtunternehmen mit Sitz in den USA, ein Buchhaltungsunternehmen in Großbritannien, eine Anwaltskanzlei und ein Personaldienstleister, beide mit Sitz in Kanada.
Es wird vermutet, dass die Malware von einem Bedrohungsakteur namens Golden Chickens (auch bekannt als Venom Spider) stammt. Es handelt sich dabei um eine getarnte, modulare Backdoor-Suite, die in der Lage ist, wertvolle Informationen zu stehlen und sich in dem angegriffenen Netzwerk zu bewegen.
„More_eggs wird ausgeführt, indem bösartiger Code an legitime Windows-Prozesse weitergegeben wird und diese die Arbeit für sie erledigen“, so Keplinger. Das Ziel ist es, die Lebensläufe als Köder zu nutzen, um die Malware zu starten und die Entdeckung zu umgehen.
Abgesehen von dem Rollentausch in der Vorgehensweise ist es unklar, was die Angreifer bezweckten, da die Angriffe gestoppt wurden, bevor sie ihre Pläne verwirklichen konnten. Es ist jedoch erwähnenswert, dass more_eggs, sobald es eingesetzt wurde, als Ausgangspunkt für weitere Angriffe wie Informationsdiebstahl und Ransomware verwendet werden könnte.
„Die Bedrohungsakteure, die hinter more_eggs stehen, nutzen einen skalierbaren Spear-Phishing-Ansatz, bei dem erwartete Mitteilungen, wie z. B. Lebensläufe, die mit den Erwartungen eines Personalchefs übereinstimmen, oder Jobangebote, die auf hoffnungsvolle Kandidaten abzielen, die mit ihren aktuellen oder früheren Jobtiteln übereinstimmen, als Waffe eingesetzt werden“, so Keplinger.