Proofpoint 网络安全公司获悉，一名疑似俄罗斯威胁行为者正在通过电子邮件模仿求职者，从潜在雇主那里窃取有价值的数据。

该组织的新策略被分析师标记为 TA4557，标志着与之前观察到的在招聘公告板上上传虚假申请的策略背道而驰。

Proofpoint 表示：“在最近观察到的活动中，TA4557 使用了直接向招聘人员发送电子邮件的新方法以及申请公共招聘网站上发布的职位的旧技术来启动攻击链。” 2018.

上当的企业和其他组织最终会将其计算机系统暴露于跟踪其机器的恶意软件，并为进一步利用窃取有价值数据铺平道路。

Proofpoint 观察到的最近的活动似乎是俄罗斯附属组织针对雇主发起的持续活动中的最新一起。2021 年，在 FBI 发出威胁行为者利用在线就业市场作为攻击媒介的警告后，Proofpoint 发布了有关 TA4557 活动的类似警告通知。

个人风格

新版本的攻击似乎采用了更加个人化的方式，通过努力模仿求职信电子邮件和申请人资料，以引诱粗心的雇主激活恶意软件，窃取数据并监视他们的计算机。

Proofpoint 表示：“在使用新的直接电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，攻击者就会回复一个链接到攻击者控制的冒充候选人简历的网站的 URL。”

Proofpoint 发现 TA4557 使用的另一种方法是回复另一封包含 PDF 或 Word 附件的电子邮件，其中包含指导目标访问虚假简历网站的说明。

Proofpoint 上个月观察到的活动要求目标受害者在最初的电子邮件中“引用我的电子邮件地址的域名来访问我的作品集”，而不是在后续回复中直接发送简历网站 URL。

它认为，基于电子邮件的策略是针对在线广告中的真实职位空缺量身定制的，旨在在欺诈者与其预期目标之间建立更多的融洽关系，以便更有说服力地欺骗他们。

Proofpoint 表示：“电子邮件的语气和内容向收件人表明，该演员是合法候选人，而且由于该演员专门针对参与招聘和聘用的人员，因此这些电子邮件不会立即显得可疑。”

它补充说，为了保持敏捷性并领先调查人员一步，TA4557 定期更改发件人电子邮件、虚假简历域和其他支持基础设施。

恶意代码

就基本机制而言，网络攻击是通过一系列的策略来进行的。

Proofpoint 表示：“候选网站使用验证码，如果完成，将启动包含快捷方式文件 (LNK) 的 zip 文件的下载。”

然后，LNK“滥用合法软件功能”下载并执行安装后门的特殊代码，这是一种非法访问目标系统的方法，称为“More_Eggs”，“可用于建立持久性、分析机器并删除额外的有效载荷。”

工作完成后，代码会自行删除，进一步帮助掩盖威胁行为者的踪迹。

Proofpoint 敦促未来的雇主更加警惕，并指示员工在招聘更多员工时要谨慎行事。

报告称：“使用第三方招聘网站的组织应该了解该行为者的策略、技术和程序，并对员工，特别是负责招聘和聘用职能的员工进行有关这一威胁的教育。”