Proofpoint-Forscher haben nach einer neunmonatigen Pause die Rückkehr der TA866-Gruppe in E-Mail-Bedrohungskampagnen identifiziert.
In einer heute veröffentlichten Erklärung berichtet das Unternehmen, dass es eine massive Kampagne am 11. Januar vereitelt habe, bei der mehrere tausend E-Mails vor allem in Nordamerika angegriffen wurden.
Die schädlichen E-Mails nahmen die Form von Rechnungen an und waren mit PDF-Anhängen namens „Dokument_[10-stellige Zahl].pdf“ ausgestattet. Die Betreffzeilen befassten sich mit „Projektfortschritten“.
Beim Öffnen dieser PDF-Dateien wurden die Benutzer über OneDrive-Links zu einer Infektionsquelle geleitet. Das Klicken auf diese Links initiierte eine Sequenz, die JavaScript-Dateien, MSI-Dateien sowie die Tools WasabiSeed und Screenshotter umfasste und letztendlich zur Installation schädlicher Software führte.
Laut Proofpoint ähnelte die Angriffskette eng einer früheren Kampagne, die am 20. März 2023 von dem Unternehmen dokumentiert wurde. Dies ermöglichte es, sie der TA571-Gruppe zuzuordnen, einem bekannten Spam-Verteiler sowie der TA866.
Wie in der Ankündigung festgestellt, war eine signifikante Veränderung in dieser Kampagne der Einsatz von PDF-Anhängen mit OneDrive-Links. Dies wich von früheren Methoden ab, bei denen Publisher-Anhänge mit aktivierten Makros oder TDS 404-URLs verwendet wurden.
Darüber hinaus wurden die im Nachhinein verwendeten Tools, einschließlich JavaScript und MSI-Dateien mit WasabiSeed- und Screenshotter-Komponenten, der TA866-Gruppe zugeschrieben – einem Akteur, der sowohl in kriminellen Aktivitäten als auch in Industriespionage verwickelt ist. Diese spezifische Kampagne zeigt Anzeichen einer finanziellen Motivation.
„TA866 ist einzigartig aufgrund seines Einsatzes von maßgeschneiderter Schadsoftware und bösartigen Dateilieferdiensten sowie seiner Verbindung zu elektronischer Kriminalität und APT-Aktivitäten“, erklärt Selena Larson, leitende Bedrohungsanalytikerin bei Proofpoint.
„Wir hatten die TA866-Gruppe in den E-Mail-Bedrohungsdaten seit etwa neun Monaten nicht mehr gesehen, und ihre Rückkehr mit einer E-Mail-Kampagne hoher Volumina ist bemerkenswert. Ihre kürzliche Aktivität fällt mit der Rückkehr anderer Cyberbedrohungsakteure nach der standardmäßigen Jahresendpause zusammen und deutet auf eine insgesamt zunehmende Bedrohung hin, während wir in das Jahr 2024 übergehen.“
FAQ:
Was ist Cybersecurity?
Cybersicherheit ist das Feld der Sicherheit, das sich mit dem Schutz von Computersystemen, Netzwerken und Daten vor Cyberangriffen befasst.
Wer ist die TA866-Gruppe?
Die TA866-Gruppe ist der Name, den Proofpoint-Forscher der Gruppe gegeben haben, die als Cyberbedrohungsakteur an kriminellen Aktivitäten und Industriespionage beteiligt ist.
Was sind E-Mail-Bedrohungskampagnen?
E-Mail-Bedrohungskampagnen sind Versuche, durch den Versand von schädlichen E-Mails mit bösartigen Dateien oder Links Computer zu infizieren oder vertrauliche Informationen zu stehlen.
Was bezeichnet die Kampagne der TA866-Gruppe?
Mit der Kampagne der TA866-Gruppe ist eine massive E-Mail-Kampagne gemeint, bei der mehrere tausend E-Mails vor allem in Nordamerika angegriffen wurden.
Was sind PDF-Anhänge?
PDF-Anhänge sind PDF-Dateien, die an schädlichen E-Mails in der Kampagne angehängt waren und die Form von Rechnungen hatten. Sie befassten sich mit „Projektfortschritten“.
Was sind OneDrive-Links?
OneDrive-Links sind Links, die als Teil der Kampagne generiert wurden und Benutzer zu OneDrive-Seiten umleiteten, wo die Infektionssequenz begann.
Was ist JavaScript?
JavaScript ist eine Programmiersprache, die insbesondere zur Erstellung dynamischer Webseiten verwendet wird.
Was ist MSI (Microsoft Windows Installer)?
MSI (Microsoft Windows Installer) ist eine Technologie, die in Windows-Systemen für die Installation, Konfiguration und Entfernung von Software verwendet wird.
Was sind WasabiSeed und Screenshotter?
WasabiSeed und Screenshotter sind Tools, die in dieser Kampagne nach der Ausbeutung eingesetzt werden und der TA866-Gruppe zugeschrieben werden.
Was ist die TA571-Gruppe?
Die TA571-Gruppe ist eine andere Gruppe von Cyberbedrohungsakteuren, die als Teilnehmer dieser Kampagne identifiziert wurde.
Was ist elektronische Kriminalität?
Elektronische Kriminalität bezieht sich auf illegale Aktivitäten, die unter Verwendung elektronischer Technologien durchgeführt werden, wie zum Beispiel Internetbetrug oder Identitätsdiebstahl, um finanzielle Vorteile zu erlangen.
Was bedeutet APT (Advanced Persistent Threat)?
APT (Advanced Persistent Threat) ist ein Begriff aus der Cybersicherheit, der auf eine geplante, fortgeschrittene und langfristige Kampagne von Cyberangriffen hinweist, die oft von staatlichen Stellen oder verbundenen Hackergruppen durchgeführt wird.
Quellen:
OneDrive-Links
Bösartige Software
The source of the article is from the blog kewauneecomet.com