HR-afdelingen doelwit van cyberaanvallen
Arctic Wolf heeft een zorgwekkende aanvalscampagne geïdentificeerd die zich specifiek richt op HR-afdelingen. De aanvalsgroep Venom Spider zet hierbij geavanceerde spear-phishingtechnieken in, waarbij ogenschijnlijk normale sollicitaties worden gebruikt om slachtoffers te verleiden tot het openen van een geïnfecteerd bestand.
Het doel? Het installeren van de 'More_eggs' backdoor, waarmee onder andere inloggegevens, intellectueel eigendom en klantinformatie buitgemaakt kunnen worden.
Social engineering gericht op HR: oude tactiek in nieuw jasje
Venom Spider is geen onbekende in de wereld van financieel gemotiveerde cybercrime. In eerdere campagnes richtte de groep zich op bedrijven die via legitieme platforms zoals LinkedIn personeel werven. Sinds de opkomst van digitale sollicitaties tijdens de pandemie, heeft Venom Spider zijn werkwijze aangescherpt – met een opvallende focus op HR-managers en recruiters.
Sinds oktober 2023 benadert de groep HR-professionals rechtstreeks met e-mails die afkomstig lijken van serieuze werkzoekenden. De phishingberichten bevatten links naar vermeende cv’s, die in werkelijkheid leiden naar een schadelijke website. Hier wordt de bezoeker gevraagd een CAPTCHA in te vullen — een sluwe zet om automatische detectie te omzeilen.
Deze aanpak sluit aan bij een bredere trend: uit onderzoek blijkt dat de helft van alle phishing-e-mails in 2023 HR-gerelateerde onderwerpen bevat, zoals kledingvoorschriften en vakanties . Dit benadrukt de noodzaak voor HR-teams om extra waakzaam te zijn.
Technisch vernuft: polymorfe payload in vermomming
Zodra het slachtoffer het CAPTCHA-proces doorloopt, wordt een zip-bestand gedownload dat een kwaadaardig .lnk-bestand bevat, verpakt naast een onschuldige afbeelding. Het .lnk-bestand activeert de installatie van de More_eggs backdoor.
Een technisch opvallend element is de server-side polymorfie die de infrastructuur van Venom Spider ondersteunt: bij elke download wordt een uniek .lnk-bestand gegenereerd met gewijzigde bestandsgrootte en code-verhulling, waardoor detectie nog lastiger wordt.
Vertrouwen als wapen: de kracht van geloofwaardige imitatie
“Sollicitanten voegen steeds vaker links toe naar hun digitale portfolio’s. Venom Spider maakt hier handig misbruik van door legitieme sollicitaties te imiteren,” zegt Ismael Valenzuela, VP Threat Intelligence bij Arctic Wolf. “Zonder training in social engineering herkennen veel HR-medewerkers deze aanvallen niet. Daardoor kan een ogenschijnlijk onschuldig cv een gateway vormen voor een volledige systeeminbraak.”
De aanvalscampagne benadrukt een terugkerend patroon in cybersecurity: niet technologie, maar vertrouwen vormt vaak het grootste lek.
De strijd van HR-afdelingen tegen cyberaanvallen
De case rond Venom Spider toont aan dat cybercriminelen zich steeds vaker richten op niet-technische afdelingen binnen organisaties. HR-teams vormen een aantrekkelijk doelwit vanwege hun dagelijkse omgang met externe bestanden en links. Securitybewustzijn mag dus niet beperkt blijven tot IT-afdelingen.
Een toekomstbestendige cybersecuritystrategie vraagt om periodieke training, ook voor afdelingen die traditioneel niet met dreigingen worden geassocieerd. Simulaties van phishingaanvallen kunnen hierbij effectief zijn. Door medewerkers regelmatig bloot te stellen aan realistische scenario's, leren zij verdachte e-mails sneller herkennen en adequaat reageren .
Foto: Designed by stories / Freepik
Lees meer
