Badacze Proofpoint zidentyfikowali powrót grupy TA866 w kampaniach zagrożeń pocztowych po dziewięciomiesięcznej przerwie.
W wydanym dzisiaj oświadczeniu firma poinformowała o udaremnieniu ogromnej kampanii przeprowadzonej 11 stycznia, której celem było wysłanie kilku tysięcy wiadomości e-mail, głównie w Ameryce Północnej.
Szkodliwe wiadomości przybierały formę faktur i były wyposażone w załączniki PDF o nazwach “Dokument_[10 cyfr].pdf” oraz tematach związanych z “Osiągnięciami projektu”.
Po otwarciu tych plików PDF użytkownicy zostali przekierowani przez wieloetapowe źródło zakażenia za pomocą linków OneDrive. Kliknięcie tych linków uruchamiało sekwencję obejmującą pliki JavaScript, pliki MSI oraz narzędzia WasabiSeed i Screenshotter, co ostatecznie prowadziło do zainstalowania złośliwego oprogramowania.
Według Proofpoint, łańcuch ataku był zbliżony do wcześniejszej kampanii udokumentowanej przez firmę 20 marca 2023 r., co pozwoliło jej przypisać go do grupy TA571, znanego dystrybutora spamu oraz TA866.
Jak wynika z komunikatu, istotną zmianą w tej kampanii była użyta formuła załączników PDF zawierających linki OneDrive. Odbiegało to od wcześniejszych metod, które obejmowały załączniki Publisher z włączonymi makrami lub adresami URL TDS 404.
Ponadto narzędzia wykorzystane po ataku, w tym pliki JavaScript i MSI z komponentami WasabiSeed i Screenshotter, zostały przypisane do grupy TA866 – aktora zagrożeń, który jest zaangażowany zarówno w działalność przestępczą, jak i szpiegostwo cybernetyczne. Ta konkretna kampania wykazuje oznaki motywacji finansowej.
“TA866 wyróżnia się ze względu na swoje zastosowanie niestandardowego oprogramowania złośliwego i usług dostarczania złośliwych plików, a także na związek z przestępczością elektroniczną i działalnością [APT]” – wyjaśnia Selena Larson, starszy analityk zagrożeń w Proofpoint.
“Nie widzieliśmy grupy TA866 w danych dotyczących zagrożeń pocztowych przez około dziewięć miesięcy, a ich powrót z wysokowydajną kampanią e-mailową jest godny uwagi. Ich ostatnia aktywność wpisuje się w powrót innych aktorów zagrożeń cybernetycznych po standardowej przerwie w związku z końcem roku, co wskazuje na ogólny wzrost zagrożeń wraz z przejściem do 2024 roku.”
Cyberbezpieczeństwo to dziedzina zajmująca się ochroną systemów komputerowych, sieci i danych przed atakami cybernetycznymi.
Grupa TA866 to nazwa nadana grupie zidentyfikowanej przez badaczy Proofpoint jako aktorowi zagrożeń cybernetycznych zaangażowanemu zarówno w działalność przestępczą, jak i szpiegostwo cybernetyczne.
Kampanie zagrożeń pocztowych to próby oszustwa poprzez wysyłanie szkodliwych wiadomości e-mail zawierających złośliwe pliki lub linki, które mogą zainfekować komputery lub kraść poufne informacje.
Kampania przeprowadzona przez grupę TA866 odnosi się do ogromnej kampanii e-mailowej przeprowadzonej przez grupę TA866, której celem było wysłanie kilku tysięcy wiadomości głównie w Ameryce Północnej.
Załączniki PDF to pliki PDF, które zostały załączone do szkodliwych wiadomości e-mail w ramach kampanii, przyjmując formę faktur i odnosząc się do “Osiągnięć projektu”.
Linki OneDrive to linki generowane w ramach kampanii, które przekierowywały użytkowników do stron OneDrive, gdzie rozpoczynała się sekwencja zakażenia.
JavaScript to język programowania stosowany głównie do tworzenia dynamicznych stron internetowych.
MSI (Microsoft Windows Installer) to technologia stosowana w systemach Windows do instalacji, konfiguracji i usuwania oprogramowania.
WasabiSeed i Screenshotter to narzędzia wykorzystywane w tej kampanii po ataku, które zostały przypisane do grupy TA866.
Grupa TA571 to inna grupa aktorów zagrożeń cybernetycznych, która została zidentyfikowana jako uczestnik tej kampanii.
Przestępczość elektroniczna odnosi się do nielegalnych działań prowadzonych za pomocą technologii elektronicznych, takich jak oszustwa internetowe czy kradzież tożsamości, mających na celu osiągnięcie korzyści finansowych.
APT (Advanced Persistent Threat) to termin stosowany w cyberbezpieczeństwie, odnoszący się do zaplanowanej, zaawansowanej i długoterminowej kampanii cyberataków, często prowadzonej przez agencje państwowe lub stowarzyszone grupy hakerów.
Linki OneDrive – https://onedrive.live.com/
Złośliwe oprogramowanie – https://pl.wikipedia.org/wiki/Z%C5%82o%C5%9Bliwe_oprogramowanie
The source of the article is from the blog girabetim.com.br