LinkedInの求人は偽物：ZIPファイルは攻撃者に開かれたバックドアをインストールします。

Golden Chickenと呼ばれるグループは、LinkedInのソーシャルネットワークを利用して偽の求人情報を公表し、バックドア型トロイの木馬に感染させることだけを目的とした攻撃を実施しています。

eSentire社によると、攻撃者はターゲットのLinkedInプロフィールに記載されている職種を利用して、悪意のあるZIPファイルを送信するとのことです。つまり、あなたがSenior Account Executiveであれば、悪意のあるZIPファイルは “Senior Account Executive position “と呼ばれることになります。

このファイルを開くと、被害者は無意識のうちにmore_eggsと呼ばれるバックドアのインストールを開始します。一度ロードされると、このバックドアは他の悪意のあるファイルをダウンロードし、被害者のコンピュータへのアクセスを提供することができます。

マルウェア・アズ・ア・サービス

more_eggsの背後にいるグループはGolden Chickensで、eSentireの説明によると、このバックドアを他のサイバー犯罪者にMalware as a Service（MaaS）として販売しています。more_eggsが被害者のコンピュータ・システム上にあると、Golden Eggsの「クライアント」はマシンをあらゆる種類のマルウェアに感染させることができます。

この攻撃で最も危険なのは、マルウェアがステルスモードで実行され、通常のWindowsプロセスを使用して実行される点です。これにより、ウイルス対策プログラムでも検出されない可能性があります。

ただし、この攻撃を発見した人たちは、MaaSを使ったキャンペーンはあまり多くないようで、選択的であるとも主張していることに留意が必要です。いずれにせよ、このマルウェア・アズ・ア・サービスは、FIN6、Cobalt Group、Evilnumの3つのグループによって利用されてきたというフォレンジックエビデンス（科学的証拠）がある。

古い知人

この3つの組織グループは、セキュリティの世界では「旧知の仲」である。FIN6は、主にペイメントカードのデータを盗み出し、地下市場で販売する金融サイバー犯罪集団です。

一方、Evilnumは、金融テクノロジー企業、つまり株式取引のプラットフォームやツールを提供する企業を危険にさらすことで最もよく知られています。フィンテック企業やその顧客に関する金融情報を対象としています。

Cobalt Groupは、金融企業を標的とした攻撃で知られており、バックドアであるmore’eggsを繰り返し使用しています。

現時点では、この攻撃の影響を最も受けるのは、医療技術産業に従事する専門家グループである可能性があるようです。

いずれにせよ、2019年2月にも同様のキャンペーンが検出されており、この種の攻撃が報告されたのは今回が初めてではありませんが、米国の小売業をターゲットとしていました。メッセージはLinkedInのメッセージングで送信されました。