Proofpoint, l’un des spécialistes dans les domaines de la cybersécurité et de la conformité, dévoile aujourd’hui les résultats de sa dernière recherche sur les activités du groupe de cybercriminel TA4557 – un acteur de la menace se faisant passer pour un candidat à l’embauche auprès des entreprises ciblées.
La technique d’attaque est simple, mais terriblement personnalisée et efficace : le groupe cybercriminel candidate à une offre d’emploi par mail, avec une pièce jointe comportant un fichier censé être le CV du candidat. Le fichier contient une URL malveillante qui installe sur l’ordinateur du recruteur la porte dérobée More_Eggs, une boucle stratégiquement conçue pour prolonger son temps d’exécution, améliorant ses capacités d’évasion dans un environnement sandbox. Cette backdoor permet ainsi aux cybercriminels d’accéder au terminal plus tard, mais aussi de vendre cet accès vers le réseau de l’entreprise à d’autres cybercriminels.
Dans les campagnes observées au début du mois de novembre 2023, Proofpoint a observé que TA4557 demandait au destinataire de « se référer au nom de domaine de mon adresse électronique pour accéder à mon portefeuille » dans le courriel initial au lieu d’envoyer directement l’URL du site Web du CV dans une réponse de suivi. Il s’agit d’une nouvelle tentative d’échapper à la détection automatique des domaines suspects.
Pour les chercheurs Proofpoint, « TA4557 se distingue nettement des autres acteurs de la menace suivis par Proofpoint en raison de l’utilisation unique d’outils et de logiciels malveillants, du ciblage de la campagne, de l’utilisation de leurres sur le thème des candidats à l’emploi, des mesures d’évasion sophistiquées employées pour empêcher la détection, des chaînes d’attaque distinctes et de l’infrastructure contrôlée par l’acteur. »
Les principales conclusions de la recherche sont les suivantes :
- Depuis 2018, l’acteur de la menace a démontré des tactiques d’ingénierie sociale très avancées, chevauchant historiquement l’activité associée au groupe cybercriminel FIN6.
- Au cours des deux dernières années, TA4557 candidate à des offres d’emploi ouvertes existantes en prétendant être un candidat légitime. L’acteur a inclus des URL malveillants ou des fichiers contenant des URL malveillants dans la demande.
- Dans la nouvelle technique d’attaque, TA4557 cible les recruteurs avec des courriels directs bénins, exprimant un intérêt pour un poste vacant. Une fois que le destinataire a répondu à l’e-mail initial, l’acteur répond en envoyant un lien vers un site web contrôlé par l’acteur qui se présente comme un CV de candidat ou une pièce jointe au format PDF ou Word contenant des instructions pour visiter le faux site web du CV.
- Depuis octobre 2023, Proofpoint suit TA4557 qui utilise à la fois la nouvelle méthode consistant à envoyer des courriels directement aux recruteurs et l’ancienne technique consistant à postuler à des offres d’emploi publiées sur des sites d’emploi publics pour commencer la chaîne d’attaque.
Vous trouverez l’intégralité de la recherche (en anglais) sur le site de Proofpoint : https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta4557-targets-recruiters-directly-email