FIN6-hackere sender falske CV’er til HR
En ny cyberangrebskampagne afslører, hvordan den berygtede hackergruppe FIN6 udnytter rekrutteringsprocessen til at infiltrere virksomheder. Gruppen udgiver sig for at være jobsøgende og sender falske CV’er, der indeholder malware, direkte til HR-medarbejdere og rekrutteringsansvarlige.
Falske jobansøgninger med skjult malware
I denne kampagne sender FIN6 phishing-mails, der ligner troværdige jobansøgninger. Mailene indeholder et link til et CV, der er hostet på betroede platforme som Amazon Web Services. Når en rekrutteringsmedarbejder klikker på linket, bliver de bedt om at downloade en ZIP-fil. Inde i arkivet gemmer der sig en genvejsfil, som ligner et PDF-CV, men som i virkeligheden aktiverer et skjult script.
Når scriptet aktiveres, sættes en proces i gang, hvor malware bliver installeret trin for trin på den rekrutterendes enhed. Det giver hackerne fjernadgang til systemet og mulighed for at stjæle data, bevæge sig rundt i virksomhedens netværk eller forberede et ransomware-angreb.
Hvis du vil vide mere om, hvordan phishing fungerer, kan du læse vores artikel om phishing, og hvis du er nysgerrig efter, hvordan malware spredes og opererer, kan du lære mere om malware her.
Rekrutteringsafdelinger som angrebsmål
HR-afdelinger bliver ikke altid set som oplagte mål for cyberangreb, men de håndterer dagligt store mængder ekstern kommunikation. Rekrutteringsmedarbejdere åbner ofte mange CV’er i løbet af en arbejdsdag, hvilket gør det nemt for hackerne at skjule sig blandt legitime ansøgere.
Det udnytter FIN6. Ved at forklæde ondsindede filer som almindeligt ansøgningsmateriale kan gruppen omgå virksomheders sikkerhedssystemer og narre brugerne til at åbne inficerede vedhæftninger.
FIN6 udvikler løbende sine metoder
FIN6 har været aktiv siden 2015 og er tidligere blevet kendt for at angribe betalingssystemer og stjæle finansielle data. I dag har gruppen skiftet fokus og arbejder i højere grad på at få adgang til virksomheders netværk. Deres brug af cloud-tjenester til at hoste skadelige filer viser en tydelig strategi for at undgå at blive opdaget.
Metoden gør også arbejdet vanskeligere for sikkerhedsfolk, da mange organisationer har tillid til platforme som AWS. Denne tillid kan betyde, at skadelige filer lettere slipper igennem traditionelle sikkerhedssystemer.
Sådan kan virksomheder beskytte sig
For at mindske risikoen for angreb bør virksomheder styrke både deres tekniske sikkerhed og medarbejdernes opmærksomhed. Det gælder især i afdelinger som HR, hvor kontakten med eksterne parter er stor. Her er nogle konkrete tiltag:
-
Giv HR-medarbejdere og andre relevante ansatte træning i cybersikkerhed og phishing
-
Brug sandkassemiljøer til at teste ukendte vedhæftede filer, før de åbnes
-
Begræns eller bloker muligheden for at køre LNK-filer, medmindre det er nødvendigt
-
Gennemgå alle downloadede filer grundigt, inden de åbnes
-
Brug endpoint detection-værktøjer, der registrerer og reagerer på mistænkelig adfærd
Konklusion
Denne kampagne viser, at cyberkriminelle ikke længere kun går gennem de klassiske it-kanaler. Ved at udnytte jobansøgningsprocessen som indgangsvinkel demonstrerer FIN6, hvordan helt almindelige forretningsfunktioner kan blive til alvorlige sikkerhedsrisici.
Derfor bør virksomheder tænke cybersikkerhed bredere og sørge for, at alle medarbejdere – ikke kun it-afdelingen – er rustet til at opdage og håndtere digitale trusler. Hackerne tilpasser sig konstant, og det samme skal vi.
Sarah Krarup
Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.
Se alle indlæg af Sarah Krarup
