Proofpoint-Forscher haben nach neunmonatiger Pause die Rückkehr der TA866-Gruppe in E-Mail-Bedrohungskampagnen identifiziert.
In einer heute veröffentlichten Erklärung gab das Unternehmen bekannt, dass es am 11. Januar eine massive Kampagne vereitelt habe, bei der mehrere tausend E-Mails, hauptsächlich in Nordamerika, zum Ziel wurden.
Die schädlichen E-Mails hatten die Form von Rechnungen und waren mit PDF-Anhängen namens „Dokument_[10 Ziffern].pdf“ sowie themenbezogenen Betreffzeilen wie „Projekt-Erfolge“ ausgestattet.
Beim Öffnen dieser PDF-Dateien wurden die Benutzer über OneDrive-Links zu einer Infektionsquelle mit mehreren Stufen weitergeleitet. Das Klicken auf diese Links löste eine Sequenz von JavaScript-Dateien, MSI-Dateien sowie den Tools WasabiSeed und Screenshotter aus, was letztendlich zur Installation von schädlicher Software führte.
Laut Proofpoint ähnelte die Angriffskette stark einer früheren Kampagne, die von dem Unternehmen am 20. März 2023 dokumentiert wurde, und konnte daher der TA571-Gruppe zugeschrieben werden, einem bekannten Spam-Verteiler sowie TA866.
Wie in der Ankündigung festgestellt wurde, gab es in dieser Kampagne eine bedeutende Veränderung: Die Verwendung von PDF-Anhängen mit OneDrive-Links. Dies wich von früheren Methoden ab, bei denen Publisher-Anhänge mit aktivierten Makros oder TDS 404-URLs verwendet wurden.
Darüber hinaus wurden die für die Post-Exploitation verwendeten Tools, einschließlich JavaScript- und MSI-Dateien mit den Komponenten WasabiSeed und Screenshotter, der TA866-Gruppe zugeschrieben – einem Bedrohungsakteur, der sowohl in kriminellen Aktivitäten als auch in der Cyberspionage tätig ist. Diese spezifische Kampagne weist Anzeichen für finanzielle Motivation auf.
„TA866 ist aufgrund seines Einsatzes von benutzerdefinierter Schadsoftware und bösartigen Dateilieferdiensten sowie seiner Verbindung zu elektronischer Kriminalität und [APT]-Aktivitäten einzigartig“, erklärt Selena Larson, Senior Threat Analyst bei Proofpoint.
„Wir hatten die TA866-Gruppe in den E-Mail-Bedrohungsdaten für etwa neun Monate nicht mehr gesehen, und ihre Rückkehr mit einer E-Mail-Kampagne hoher Volumina ist bemerkenswert. Ihre jüngste Aktivität steht im Zusammenhang mit der Rückkehr anderer Cyberbedrohungsakteure nach der üblichen Jahresendpause und deutet auf insgesamt zunehmende Bedrohungen hin, während wir uns in das Jahr 2024 hineinbewegen.“
Frequently Asked Questions (FAQ):
Q: Was versteht man unter Cybersicherheit?
A: Cybersecurity ist ein Bereich der Sicherheit, der sich mit dem Schutz von Computersystemen, Netzwerken und Daten vor Cyberangriffen befasst.
Q: Wer ist die TA866-Gruppe?
A: Die TA866-Gruppe ist der Name, den Proofpoint-Forscher einer Bedrohungsgruppe gegeben haben, die sowohl in kriminelle Aktivitäten als auch in die Cyberspionage verwickelt ist.
Q: Was sind E-Mail-Bedrohungskampagnen?
A: E-Mail-Bedrohungskampagnen sind Versuche, durch den Versand von schädlichen E-Mails, die bösartige Dateien oder Links enthalten, Betrug zu begehen, indem Computer infiziert oder vertrauliche Informationen gestohlen werden.
Q: Was ist eine Kampagne, die von der TA866-Gruppe durchgeführt wurde?
A: Mit der von der TA866-Gruppe durchgeführten Kampagne ist eine massive E-Mail-Kampagne gemeint, die vorwiegend in Nordamerika mehrere tausend E-Mails zum Ziel hatte.
Q: Was sind PDF-Anhänge?
A: PDF-Anhänge sind PDF-Dateien, die in der Kampagne an schädlichen E-Mails angehängt waren und die Form von Rechnungen hatten und sich auf „Projekt-Erfolge“ bezogen.
Q: Was sind OneDrive-Links?
A: OneDrive-Links sind Links, die im Rahmen der Kampagne generiert wurden und Benutzer zu OneDrive-Seiten umleiteten, wo die Infektionssequenz begann.
Q: Was ist JavaScript?
A: JavaScript ist eine Programmiersprache, die insbesondere für die Erstellung dynamischer Webseiten verwendet wird.
Q: Was ist MSI (Microsoft Windows Installer)?
A: MSI (Microsoft Windows Installer) ist eine Technologie, die in Windows-Systemen für die Installation, Konfiguration und Entfernung von Software verwendet wird.
Q: Was sind WasabiSeed und Screenshotter?
A: WasabiSeed und Screenshotter sind Tools, die in dieser Kampagne nach dem Ausnutzen von Schwachstellen verwendet wurden und der TA866-Gruppe zugeschrieben wurden.
Q: Was ist die TA571-Gruppe?
A: Die TA571-Gruppe ist eine weitere Bedrohungsgruppe, die als Teilnehmer dieser Kampagne identifiziert wurde.
Q: Was versteht man unter elektronischer Kriminalität?
A: Elektronische Kriminalität bezieht sich auf illegale Aktivitäten, die mit elektronischen Technologien durchgeführt werden, wie zum Beispiel Internetbetrug oder Identitätsdiebstahl, um finanzielle Vorteile zu erlangen.
Q: Was ist APT (Advanced Persistent Threat)?
A: APT (Advanced Persistent Threat) ist ein Begriff aus dem Bereich der Cybersicherheit und bezieht sich auf eine geplante, fortschrittliche und langfristige Kampagne von Cyberangriffen, die häufig von staatlichen Stellen oder verbundenen Hackergruppen durchgeführt wird.
Quellen:
OneDrive-Links – https://onedrive.live.com/
Bösartige Software – https://en.wikipedia.org/wiki/Malware
The source of the article is from the blog scimag.news