Last Updated on 2025-06-12 07:49 by admin
金銭的動機を持つサイバー犯罪グループFIN6(別名Skeleton Spider)が2025年6月、LinkedInやIndeedで求職者を装い採用担当者を標的とする新たな攻撃キャンペーンを展開している。
同グループは2012年から活動し、従来のポイント・オブ・セール(POS)システム侵害からソーシャルエンジニアリング手法へ移行した。攻撃者は採用担当者との信頼関係を数日から数週間かけて構築後、「bobbyweisman[.]com」「emersonkelly[.]com」などの偽ドメインを含むフィッシングメールを送信し、Amazon Web Services(AWS)でホストされた偽履歴書サイトに誘導する。
ドメインはGoDaddyで匿名登録され、サイトでは環境フィンガープリンティングとCAPTCHA認証を実施して住宅用IPアドレスとWindows系ブラウザのユーザーのみに悪意のあるZIPファイルをダウンロードさせる。
ZIPファイルには.LNK(Windowsショートカット)ファイルが含まれ、wscript.exeを使用してJavaScriptペイロードを実行し、Venom Spider製のMore_eggsバックドアを展開する。
脅威インテリジェンス企業DomainToolsが2025年6月10日にこの攻撃を発見し、侵害指標をGitHubで公開した。
From: 
Hire me! To drop malware on your computer
【編集部解説】
2012年から活動する同グループが、従来のポイント・オブ・セール(POS)システムへの直接攻撃から、人間の心理を巧妙に操るソーシャルエンジニアリング手法への転換を図ったことは、サイバー犯罪者が技術的防御の強化に対応して戦術を高度化させていることを明確に示しています。
特に注目すべきは、攻撃者が数日から数週間をかけて採用担当者との信頼関係を構築する点です。KnowBe4のセキュリティ専門家エリック・クロン氏が指摘するように、この手法は「握手してからハッキングする」アプローチとして、従来の「スプレー・アンド・プレイ」型の無差別攻撃とは一線を画し、標的型攻撃の精度を大幅に向上させています。
技術的な観点から見ると、More_eggsマルウェアの採用は戦略的な選択です。Venom Spider(別名Golden Chickens)が開発したこのJavaScriptベースのバックドアはメモリ内で動作するため、従来のファイルベースの検知システムでは発見が困難になります。さらに、マルウェア・アズ・ア・サービス(MaaS)として提供されることで、技術的スキルが限定的な犯罪者でも高度な攻撃を実行できる環境が整っています。
AWS、GoDaddyといった正規のクラウドサービスの悪用は、サイバーセキュリティ業界にとって深刻な課題を提起しています。特に、環境フィンガープリンティング技術により、VPNやクラウドインフラ、企業セキュリティスキャナーからのアクセスを検知して無害なコンテンツを表示する一方、住宅用IPアドレスとWindows系ブラウザのユーザーにのみマルウェアを配信する手法は、従来の検知システムを巧妙に回避しています。
この攻撃手法が与える影響は多岐にわたります。採用業界では、リモートワークの普及により履歴書の電子化が進んでいますが、今回の事例はその利便性に潜むリスクを浮き彫りにしました。企業の人事部門は、従来の技術的対策だけでなく、人的要素を含む包括的なセキュリティ戦略の再構築を迫られることになるでしょう。
長期的な視点では、この攻撃手法の成功が他の犯罪グループによる模倣を促す可能性があります。特に、AI技術の発達により、より説得力のある偽の履歴書や人格の作成が容易になることで、このタイプの攻撃はさらに巧妙化していく可能性が高いと考えられます。
【用語解説】
FIN6(Skeleton Spider)
2012年から活動している金銭的動機を持つサイバー犯罪グループ。当初はポイント・オブ・セール(POS)システムを標的としてクレジットカード情報を盗取していたが、2019年にRyukやLockergogaなどのランサムウェア攻撃に拡大し、近年はソーシャルエンジニアリング手法に移行している。
More_eggs
Venom Spider(別名Golden Chickens)が開発したJavaScriptベースのバックドア型マルウェア。マルウェア・アズ・ア・サービス(MaaS)として提供され、認証情報の窃取、システムアクセス、追加ペイロードの配信、PowerShell実行が可能である。
Venom Spider(Golden Chickens)
More_eggsマルウェアの開発者として知られるサイバー犯罪グループ。最近ではTerraStealerV2やTerraLoggerなどの新しいマルウェアファミリーの開発も手がけている。
環境フィンガープリンティング
訪問者のIPアドレス、オペレーティングシステム、ブラウザ情報を分析して、標的となる人間のユーザーと自動化されたセキュリティツールを区別する技術。
Living Off the Land Binaries(LOLBins)
wscript.exeなどの正規のWindows標準ツールを悪用してマルウェアを実行する手法。正規ツールを使用するため、セキュリティアラートを回避しやすい。
マルウェア・アズ・ア・サービス(MaaS)
サイバー犯罪者がマルウェアを商品として他の犯罪者に販売・提供するビジネスモデル。技術的スキルが限定的な犯罪者でも高度な攻撃を実行できる環境を提供する。
ソーシャルエンジニアリング
人間の心理的弱点を悪用して機密情報を取得したり、システムへの不正アクセスを行う攻撃手法。技術的な脆弱性ではなく人的要素を標的とする。
【参考リンク】
Amazon Web Services(AWS)(外部)
アマゾンが提供する世界最大級のクラウドコンピューティングサービス。EC2やS3などのサービスが攻撃者によって悪用されている。
GoDaddy(外部)
1997年設立のアメリカのドメイン登録・ウェブホスティング企業。ドメインプライバシーサービスが攻撃者による匿名登録に悪用されている。
LinkedIn(外部)
マイクロソフト傘下のビジネス特化型SNS。FIN6が採用担当者との初期接触に悪用している主要プラットフォームの一つ。
DomainTools(外部)
ドメイン情報とDNSデータの分析を専門とするサイバーセキュリティ企業。今回のFIN6攻撃を最初に発見・報告した。
KnowBe4(外部)
セキュリティ意識向上トレーニングを提供する企業。同社のエリック・クロン氏が今回の攻撃手法について専門的見解を提供している。
AttackIQ(外部)
サイバーセキュリティ検証プラットフォームを提供する企業。同社のアンドリュー・コスティス氏が攻撃手法の技術的分析を行っている。
【参考動画】
【参考記事】
FIN6 cybercriminals pose as job seekers on LinkedIn to hack recruiters(外部)
The Recordによる今回の攻撃キャンペーンの包括的な報道記事。FIN6の戦術変更と採用担当者を標的とした新手法について詳述している。
FIN6 Uses AWS-Hosted Fake Resumes on LinkedIn to Deliver More_eggs Malware(外部)
The Hacker NewsによるFIN6の攻撃キャンペーンの詳細分析。More_eggsマルウェアの技術的特徴とAWSインフラの悪用について解説している。
Eggs in a Cloudy Basket: Skeleton Spider’s Trusted Cloud Malware Delivery(外部)
DomainToolsによる今回の攻撃を最初に発見・報告した調査レポート。FIN6のクラウドサービス悪用手法と技術的詳細を詳述している。
FIN6 attackers target recruiters with fraudulent resumes(外部)
IT ProによるFIN6の新たな攻撃手法の分析記事。偽履歴書を使用した攻撃の仕組みと検知回避技術について解説している。
【編集部後記】
今回のFIN6の事例は、私たちが日常的に利用するLinkedInやIndeedといった身近なプラットフォームが攻撃の舞台となっていることに驚かされます。
特に、攻撃者が数週間をかけて信頼関係を構築する手法は、従来の自動化された攻撃とは大きく異なります。皆さんの職場では、採用プロセスにおけるセキュリティ対策はどの程度整備されているでしょうか。
また、求職者とのやり取りで「何となく違和感を感じた」経験や、外部サイトでの履歴書ダウンロードを求められた体験はありませんか?この記事を読んで、ご自身の組織や業界で類似の脅威に遭遇した経験があれば、ぜひSNSで共有していただけると嬉しいです。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
