Proofpoint sine forskere har identifisert tilbakekomsten til TA866-gruppa i e-posttrusler etter en pause på ni måneder.
I en uttalelse som ble offentliggjort i dag, rapporterte selskapet at de hadde avverget en massiv kampanje gjennomført 11. januar, rettet mot flere tusen e-poster, hovedsakelig i Nord-Amerika.
De skadelige e-postene tok form av fakturaer og var utstyrt med PDF-vedlegg navngitt «Dokument_[10 sifre].pdf» og relaterte emner som «Prosjektets resultater».
Ved å åpne disse PDF-filene ble brukerne ledet gjennom en flertrinnsinfeksjonskilde ved bruk av OneDrive-lenker. Ved å klikke på disse lenkene ble det startet en sekvens som involverte JavaScript-filer, MSI-filer, samt verktøyene WasabiSeed og Screenshotter, som til slutt resulterte i installasjonen av skadelig programvare.
Ifølge Proofpoint, liknet angrepskjeden sterkt på en tidligere kampanje som selskapet dokumenterte 20. mars 2023, og dette gjorde at det kunne tilskrives både TA571-gruppa og den kjente distributøren av spam, TA866.
Som det fremgår av kunngjøringen, var en betydelig endring i denne kampanjen bruken av PDF-vedlegg som inneholdt OneDrive-lenker. Dette avvek fra tidligere metoder, som inkluderte Publisher-vedlegg med aktiverte makroer eller TDS 404-URL-er.
Videre ble post-utnyttelseverktøyene som ble brukt, inkludert JavaScript- og MSI-filer med WasabiSeed- og Screenshotter-komponenter, tilskrevet TA866-gruppa – en trusselaktør involvert i både kriminell aktivitet og cyberspionasje. Denne spesifikke kampanjen viser tegn på økonomisk motivasjon.
«TA866 er unike på grunn av bruken av skreddersydd skadevare og skadelige filleveringstjenester, samt assosiering med elektronisk kriminalitet og [APT]-aktivitet», forklarer Selena Larson, senior trusselanalytiker hos Proofpoint.
«Vi hadde ikke sett TA866-gruppa i e-posttrusler på omtrent ni måneder, og deres tilbakekomst med en e-postkampanje med høy volum er bemerkelsesverdig. Deres nylige aktivitet samsvarer med tilbakekomsten av andre cybertrusler etter den tradisjonelle nyttårsperioden, noe som indikerer en generell økning av trusler idet vi går inn i 2024.»
FAQ
Hva er cybersikkerhet?
Cybersikkerhet er feltet innen sikkerhet som tar for seg beskyttelse av datasystemer, nettverk og data mot cyberangrep.
Hva er TA866-gruppa?
TA866-gruppa er navnet som Proofpoint sine forskere har gitt til en cybertrusselaktør som er involvert i både kriminell aktivitet og cyberspionasje.
Hva er e-posttrusselkampanjer?
E-posttrusselkampanjer er forsøk på bedrageri ved å sende skadelige e-poster som inneholder ondsinnede filer eller lenker som kan infisere datamaskiner eller stjele konfidensiell informasjon.
Hva refererer kampanjen utført av TA866-gruppa til?
Kampanjen utført av TA866-gruppa refererer til en massiv e-postkampanje gjennomført av TA866-gruppa, rettet mot flere tusen e-poster hovedsakelig i Nord-Amerika.
Hva er PDF-vedlegg?
PDF-vedlegg er PDF-filer som ble vedlagt skadelige e-poster i kampanjen, og tok form av fakturaer og refererte til «Prosjektets resultater».
Hva er OneDrive-lenker?
OneDrive-lenker er lenker generert som en del av kampanjen som omdirigerte brukere til OneDrive-sider der infeksjonssekvensen begynte.
Hva er JavaScript?
JavaScript er et programmeringsspråk som brukes spesielt til å lage dynamiske nettsider.
Hva er MSI (Microsoft Windows Installer)?
MSI (Microsoft Windows Installer) er en teknologi som brukes i Windows-systemer for installasjon, konfigurering og fjerning av programvare.
Hva er WasabiSeed og Screenshotter?
WasabiSeed og Screenshotter er verktøy som brukes i denne kampanjen etter utnyttelse, og de er tilskrevet TA866-gruppa.
Hva er TA571-gruppa?
TA571-gruppa er en annen cybertrusselaktørgruppe som er blitt identifisert som deltaker i denne kampanjen.
Hva er elektronisk kriminalitet?
Elektronisk kriminalitet refererer til ulovlige aktiviteter som blir utført ved bruk av elektroniske teknologier, slik som internett-svindel eller identitetstyveri, for å oppnå økonomiske fordeler.
Hva er APT (Advanced Persistent Threat)?
APT (Advanced Persistent Threat) er et begrep som brukes innen cybersikkerhet, og refererer til en planlagt, avansert og langvarig kampanje av cyberangrep, ofte utført av statlige organer eller tilknyttede hackergrupper.
Kilder:
– OneDrive-lenker: https://onedrive.live.com/
– Skadelig programvare: https://no.wikipedia.org/wiki/Malware
The source of the article is from the blog maltemoney.com.br