Proofpoint-forskarar har identifisert at TA866-gruppen er tilbake i e-posttruslar etter ein pause på ni månader.
I ei kunngjering i dag rapporterte selskapet at dei hadde avverja ein massiv kampanje den 11. januar, med mål om fleire tusen e-postar, hovudsakleg i Nord-Amerika.
Dei skadelege e-postane tok form av fakturaer og var utstyrt med PDF-vedlegg med namnet «Dokument_[10 siffer].pdf» og relaterte emne som «Prosjektprestasjonar».
Når brukarar åpna desse PDF-filene, vart dei dirigerte gjennom ein fleirstegsinfeksjonskjelde ved hjelp av OneDrive-lenkar. Ved å klikke på desse lenkene, starta ein sekvens med JavaScript-filer, MSI-filer, samt verktøya WasabiSeed og Screenshotter, som til slutt resulterte i installasjonen av skadeleg programvare.
Ifølgje Proofpoint likna denne angrepskjeda sterkt på ein tidlegare kampanje dokumentert av selskapet den 20. mars 2023. Dette gjorde det mogleg å knyte den til både TA571-gruppen, ein kjent distributør av søppelpost, og TA866.
Som det blir påpeikt i kunngjeringa, var ein betydeleg endring i denne kampanjen bruken av PDF-vedlegg med OneDrive-lenkar. Dette var ein avvik frå tidlegare metodar, som inkluderte Publisher-vedlegg med aktive makroar eller TDS 404-URLar.
Tillegg handla det om verktøyane som vart brukt i etterkant, inkludert JavaScript og MSI-filer med WasabiSeed- og Screenshotter-komponentane. Desse vart knytt til TA866-gruppen, ein trusselaktør involvert både i kriminell verksemd og digitale spionasjeaktivitetar. Denne spesifikke kampanjen viser teikn på økonomisk motivasjon.
«TA866 er unik på grunn av bruken av eigeutvikla skadeleg programvare og tenester for levering av skadelege filer, samt tilknytinga til elektronisk kriminalitet og [APT]-aktivitet,» forklarer Selena Larson, senior trusselanalytikar hos Proofpoint.
«Vi hadde ikkje sett TA866-gruppen i e-posttruslar på omtrent ni månader, og deira tilbakekomst med ein e-postkampanje med høgt volum er bemerkelsesverdig. Den nylege aktiviteten deira stemmar overeins med tilbakekomsten av andre digitale trusselaktørar etter det vanlege årsskiftet, noko som indikerer ein generell auke i truslar når vi går inn i 2024.»
Spørsmål og svar:
Hva er cybertryggleik?
Cybertryggleik er feltet som handlar om å beskytte datasystemar, nettverk og data mot cyberangrep.
Kven er TA866-gruppen?
TA866-gruppen er namnet som Proofpoint-forskarar har gitt til ein trugselaktør som er involvert både i kriminell verksemd og digitale spionasjeaktivitetar.
Kva er e-posttruslar?
E-posttruslar er forsøk på svindel ved å sende skadelege e-postar med skadelege filer eller lenkar som kan infisere datamaskinar eller stjele konfidensiell informasjon.
Kva blir meint med kampanjen gjennomført av TA866-gruppen?
Kampanjen gjennomført av TA866-gruppen viser til ein massiv e-postkampanje gjennomført av denne gruppen, med mål om fleire tusen e-postar hovudsakleg i Nord-Amerika.
Kva er PDF-vedlegg?
PDF-vedlegg er PDF-filer som vart lagt ved i skadelege e-postar i kampanjen. Desse tok form av fakturaer og gjaldt «Prosjektprestasjonar».
Kva er OneDrive-lenkar?
OneDrive-lenkar er lenkar som vart generert som ein del av kampanjen, og omdirigerte brukarar til OneDrive-sider der infeksjonssekvensen starta.
Kva er JavaScript?
JavaScript er eit programmeringsspråk som blir særlig brukt til å opprette dynamiske nettsider.
Kva er MSI?
MSI (Microsoft Windows Installer) er ei teknologi som blir brukt i Windows-system for installasjon, konfigurasjon og fjerning av programvare.
Kva er WasabiSeed og Screenshotter?
WasabiSeed og Screenshotter er verktøy som vart brukt i etterkantsfasen av denne kampanjen og har blitt knytt til TA866-gruppen.
Kven er TA571-gruppen?
TA571-gruppen er ei anna trusselaktørgruppe som har blitt identifisert som deltakar i denne kampanjen.
Kva betyr elektronisk kriminalitet?
Elektronisk kriminalitet refererer til ulovlege aktivitetar som blir utført ved bruk av elektroniske teknologiar, som for eksempel internett-svindel eller identitetstyveri, for å oppnå økonomisk gevinst.
Kva er APT?
APT (Advanced Persistent Threat) er ein term som blir brukt i cybertryggleik og viser til ein planlagt, avansert og langsiktig kampanje med cyberangrep, ofte gjennomført av statlege organ eller tilknytta hackergrupper.
Kjelder:
OneDrive-lenkar
Skadeleg programvare
The source of the article is from the blog bitperfect.pe