Proofpoint-onderzoekers hebben de terugkeer van de TA866-groep in e-maildreigingscampagnes geïdentificeerd na een pauze van negen maanden.
In een vandaag uitgegeven verklaring meldde het bedrijf dat het een grootschalige campagne had verijdeld die op 11 januari werd uitgevoerd en gericht was op enkele duizenden e-mails, voornamelijk in Noord-Amerika.
De kwaadaardige e-mails hadden de vorm van facturen en waren uitgerust met PDF-bijlagen met de naam “Document_[10 cijfers].pdf” en gerelateerde onderwerpen zoals “Projectresultaten”.
Bij het openen van deze PDF-bestanden werden gebruikers doorverwezen via een infectiebron in meerdere fasen via OneDrive-links. Door op deze links te klikken, werd een sequentie gestart met JavaScript-bestanden, MSI-bestanden, evenals de tools WasabiSeed en Screenshotter, wat uiteindelijk resulteerde in de installatie van kwaadaardige software.
Volgens Proofpoint leek de aanvalsketen sterk op een eerdere campagne die door het bedrijf werd gedocumenteerd op 20 maart 2023, waardoor deze kon worden toegeschreven aan de TA571-groep, een bekende verspreider van spam, evenals TA866.
Zoals vermeld in de aankondiging, was een significante verandering in deze campagne het gebruik van PDF-bijlagen met OneDrive-links. Dit week af van eerdere methoden, waarbij Publisher-bijlagen met ingeschakelde macro’s of TDS 404-URL’s werden gebruikt.
Bovendien werden de tijdens de post-exploitatie gebruikte tools, inclusief JavaScript- en MSI-bestanden met WasabiSeed- en Screenshotter-componenten, toegeschreven aan de TA866-groep – een dreigingsacteur die betrokken is bij zowel criminele activiteiten als cyberspionage. Deze specifieke campagne vertoont tekenen van financiële motivatie.
“TA866 is uniek vanwege het gebruik van op maat gemaakte malware en kwaadaardige bestandsleveringsservices, evenals de associatie met elektronische criminaliteit en [APT] activiteit,” legt Selena Larson, Senior Threat Analyst bij Proofpoint, uit.
“We hadden de TA866-groep ongeveer negen maanden lang niet gezien in e-maildreigingsgegevens, en hun terugkeer met een grootschalige e-mailcampagne is opmerkelijk. Hun recente activiteit valt samen met de terugkeer van andere cyberdreigingsactoren na de standaard eindejaarspauze, wat duidt op een algehele toename van bedreigingen naarmate we de overgang naar 2024 maken.”
FAQ
Wat is cybersecurity?
Cybersecurity is het vakgebied dat zich bezighoudt met de bescherming van computersystemen, netwerken en gegevens tegen cyberaanvallen.
Wat is de TA866-groep?
De TA866-groep is de naam die Proofpoint-onderzoekers hebben gegeven aan de groep die zij hebben geïdentificeerd als een cyberdreigingsacteur die betrokken is bij zowel criminele activiteiten als cyberspionage.
Wat zijn e-maildreigingscampagnes?
E-maildreigingscampagnes zijn pogingen tot fraude door het verzenden van kwaadaardige e-mails met kwaadaardige bestanden of links die computers kunnen infecteren of vertrouwelijke informatie kunnen stelen.
Wat wordt bedoeld met de campagne die is uitgevoerd door de TA866-groep?
Met de campagne die is uitgevoerd door de TA866-groep wordt verwezen naar een grootschalige e-mailcampagne die is uitgevoerd door de TA866-groep en gericht was op enkele duizenden e-mails, voornamelijk in Noord-Amerika.
Wat zijn PDF-bijlagen?
PDF-bijlagen zijn PDF-bestanden die waren gekoppeld aan kwaadaardige e-mails in de campagne en de vorm hadden van facturen en verwijzen naar “Projectresultaten”.
Wat zijn OneDrive-links?
OneDrive-links zijn links die zijn gegenereerd als onderdeel van de campagne en gebruikers doorverwijzen naar OneDrive-pagina’s waar de infectiesequentie begint.
Wat is JavaScript?
JavaScript is een programmeertaal die vooral wordt gebruikt voor het maken van dynamische webpagina’s.
Wat is MSI (Microsoft Windows Installer)?
MSI (Microsoft Windows Installer) is een technologie die wordt gebruikt in Windows-systemen voor de installatie, configuratie en verwijdering van software.
Wat zijn WasabiSeed en Screenshotter?
WasabiSeed en Screenshotter zijn tools die in deze campagne na-exploitatie worden gebruikt en worden toegeschreven aan de TA866-groep.
Wie is de TA571-groep?
De TA571-groep is een andere cyberdreigingsacteurgroep die is geïdentificeerd als een deelnemer aan deze campagne.
Wat wordt bedoeld met elektronische criminaliteit?
Elektronische criminaliteit verwijst naar illegale activiteiten die worden uitgevoerd met behulp van elektronische technologieën, zoals internetfraude of identiteitsdiefstal, om financiële voordelen te behalen.
Wat is APT (Advanced Persistent Threat)?
APT (Advanced Persistent Threat) is een term die wordt gebruikt in cybersecurity en verwijst naar een geplande, geavanceerde en langdurige campagne van cyberaanvallen, vaak uitgevoerd door staatsinstanties of geaffilieerde hacker-groepen.
Bronnen:
– Cybersecurity: https://nl.wikipedia.org/wiki/Cybersecurity
– OneDrive: https://onedrive.live.com/
– Kwaadaardige software: https://nl.wikipedia.org/wiki/Malware
The source of the article is from the blog shakirabrasil.info