記事本文(要約)
金融犯罪グループFIN6が、Amazon Web Services(AWS)を利用して、偽の履歴書をホストし、More_eggsというマルウェアを配布していることが確認されました。FIN6は、LinkedInやIndeedを通じてリクルーターとコンタクトを取り、信頼関係を構築した後にフィッシングメッセージを送付してマルウェアを拡散します。このマルウェアはGolden Chickensという別のサイバー犯罪グループによって開発されたもので、資格情報の窃取やシステムアクセス、ランサムウェアの攻撃を可能にします。FIN6は、特にeコマースやホテル業界の支払いカード情報をターゲットにしており、過去にはMagecart JavaScriptスキマーを使用してきました。彼らはGoDaddyのプライバシー機能を悪用してドメインの登録者情報を隠し、AWSのような信頼性の高いクラウドサービスを利用してフィッシングサイトをホストします。さらに、特定の条件を満たすユーザーにのみマルウェアがダウンロードされ、感染が開始されます。このキャンペーンは、簡単なフィッシング技術とクラウドインフラを組み合わせた効率的な攻撃手法の一例です。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 10 Jun 2025 22:16:00 +0530
Original URL: https://thehackernews.com/2025/06/fin6-uses-aws-hosted-fake-resumes-on.html
詳細な技術情報
以下は、提供された文章に基づく詳細なセキュリティ分析です。
CVE番号
本文章には直接CVE番号が記載されていません。ただし、言及されている脅威や攻撃手法に関連する既知の脆弱性が存在する可能性があります。特に、JavaScriptベースの攻撃やAWSの悪用に関連するものは、個別にCVEデータベースを確認する必要があります。
脆弱性の仕組み
この攻撃はソーシャルエンジニアリングを用いたフィッシング攻撃を起点としています。攻撃者は職業プラットフォームを利用して信頼性を構築し、偽の履歴書をダウンロードするリンクを送信します。リンク先はAWSインフラ上にホストされ、信頼されたサービスを利用していることから、ユーザーは安心してリンクをクリックしてしまいます。
攻撃手法
- ソーシャルエンジニアリング: 職業紹介プラットフォーム(LinkedIn, Indeed)を利用し、求職者を装って採用担当者と接触。
- フィッシングリンクの送信: 偽の履歴書をAWSにホスティングし、そのリンクを送信。
- CAPTCHAとトラフィックフィルタリング: 住宅IPとWindowsベースのブラウザ使用者のみをターゲットに、CAPTCHA認証を通じて本物リンクを配布。
- マルウェア配布: ダウンロードされたZIPファイルを展開すると、More_eggsマルウェアがシステムに感染。
潜在的な影響
- 機密情報の窃取: More_eggsはバックドアとして機能し、資格情報の窃取、システムアクセス、さらなる攻撃(ランサムウェアなど)を可能にします。
- 金融情報の収集: FIN6は支払いカード情報をターゲットにし、それを不正に取得、売却することで利益を上げています。
- ブランドの信頼失墜: AWSや他の正規なサービスが悪用された場合、そのブランドの信頼性が損なわれる可能性があります。
推奨される対策
- ユーザー教育: ソーシャルエンジニアリングやフィッシング攻撃のリスクについて、職業紹介プラットフォームのユーザーへの教育を強化する。
- メールフィルタリングとセキュリティツール: 企業メールシステムにフィッシングフィルタリングを導入し、疑わしいリンクや添付ファイルの検出を強化。
- CAPTCHA認証の注意喚起: CAPTCHAを含むリンクが送られてきた場合、その正当性を必ず二重に確認する習慣を持つ。
- クラウドサービスの監査と制御: 企業が使用するクラウドサービスについて、適切な監査と制御を実施し、不正利用を防ぐ。
- ゾーンベースのトラフィック監視: VPNやプロキシを使用し、トラフィックを監視して異常な挙動を特定しやすくする。
