FIN6がLinkedIn経由でMore_eggsマルウェアを拡散、AWSにホストされた偽の履歴書を利用 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > FIN6がLinkedIn経由でMore_eggsマルウェアを拡散、AWSにホストされた偽の履歴書を利用

デイリーサイバーアラート

Silobreaker-CyberAlert

FIN6がLinkedIn経由でMore_eggsマルウェアを拡散、AWSにホストされた偽の履歴書を利用

nosa

nosa

2025.06.11

6月11日:サイバーセキュリティ関連ニュース

FIN6がLinkedIn経由でMore_eggsマルウェアを拡散、AWSにホストされた偽の履歴書を利用

The Hacker News – Jun 10, 2025

金銭目的の脅威アクターFIN6がAmazon Web Services(AWS)インフラ上にホストされた偽の履歴書を使い、More_eggsと呼ばれるマルウェアファミリーを拡散していることが確認された。

インテリジェンス企業DomainTools Investigations(DTI)のレポートによると、FIN6は求職者を装い、LinkedInやIndeedといった求人プラットフォームで採用担当者に連絡を取った上、ZIPアーカイブ形式の履歴書とされるリンクを提供してマルウェアをばら撒いている。個人のポートフォリオを装った偽ドメインはGoDaddyを通じて匿名登録されており、追跡を困難にすることで攻撃者の特定や削除を難しくしているという。

またフィッシングサイトのホスティングには、AWS Elastic Compute Cloud(EC2)やS3など信頼できるクラウドサービスが利用されている点も注目に値する。これらのサイトにはトラフィックフィルタリングロジックが組み込まれ、VPNユーザーやセキュリティスキャナーなどはターゲットから排除。その上で、CAPTCHAをパスした被害者にのみ偽の履歴書をダウンロードするリンクが提供されている。つまり本物そっくりな求人関連のルアーを使い、スキャナーを回避し、マルウェアをCAPTCHAの背後に隠すことで、多くの検知ツールを凌駕しているわけだ。

More_eggsはJavaScriptベースのバックドアで、認証情報の窃取やシステムへのアクセスのほか、ランサムウェアを含む後続の攻撃を可能にする。このマルウェアはGolden Chickens(別名Venom Spider)と呼ばれるサイバー犯罪グループが開発したとされるもの。なおGolden Chickensは、最近ではTerraStealerV2やTerraLoggerといった新しいマルウェアファミリーに関連付けられている。FIN6は2018年からMore_eggsを第一段階のペイロードとして利用しているようだ。

Camouflage Tempest、Gold Franklin、ITG08、Skeleton Spider、TA4557の名でも知られるFIN6は、2012年から活動を開始。元々はホスピタリティ業界や小売業界のPOS(販売時点情報管理)システムからペイメントカード情報を盗んで利益化していたが、Magecart JavaScriptスキマーを使ってEコマースサイトから金銭関連情報を収集したこともある。

英M&Sのオンライン注文システム、サイバー攻撃によるサービス停止から46日後に再稼働

The Register – Tue 10 Jun 2025

英国の小売大手マークス&スペンサー(M&S)がオンラインでの注文を一部再開し、4月に発生したサイバー攻撃からの回復に向けて大きな一歩を踏み出した。

M&Sは10日にWebサイトを更新し、イングランド、スコットランド、ウェールズで一部のファッションアイテムがオンラインで購入可能になったと発表した。同社は以前、Webサイトの混乱が7月まで続く可能性があると警告していたが、CEOのStuart Machin氏はこの「機会」にデジタル変革を加速させると述べている。

ただし、まだ通常のサービスに戻ったわけではなく、北アイルランドへの配送は数週間以内に再開されるとのこと。さらに通常配送のみ利用可能となっているが、商品到着まで最大10日(攻撃前は通常3〜5日)を要するとの見通しも明らかにされた。

同社は攻撃を受けた直後、オンラインおよびアプリからの注文には影響しないと明言していたが、わずか数日でこれを撤回。その後に顧客データが盗まれたことも確認していた。攻撃の詳細については明らかにされていないが、DragonForceランサムウェアが関与しているとの噂が根強く流れている。

【無料配布中!】ディープ&ダークウェブ関連レポート

弊社が作成したレポートディープ&ダークウェブにおけるSNSアカウント売買とディープフェイクを無料配布中です!

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから:

レポートの内容

第1章:アカウント売買・貸与

  • 中国語アカウントマーケット
  • 英語 Black Hat SEO 関連フォーラム
  • 英語「デジタル権利マーケット」
  • ロシア語 SMM ツールフォーラム
  • 英語暗号資産関連フォーラム
  • ロシア語ハッキングフォーラム

第2章:ディープフェイク

  • DDW で言及されたディープフェイク
  • ディープフェイク関連の特筆すべき投稿

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ