Ohunäitlejad ühinevad pühadejärgse andmepüügi e-kirjade tõusu vastu

Eelmisel nädalal lõid kaks erinevat ohutegijat koostööd, et saata tuhandeid puhkusejärgseid andmepüügimeile, mis olid mõeldud Põhja-Ameerika organisatsioonidele.

Peale mahu oli kampaania üsna tavaline hind. Huvitavam on ehk kampaania ajastus – ja selle taga olevate kurjategijate suhe.

Meilid sisaldasid laiska teemarida ja ettevõtte konksu (nt „Tere! Lisatud leiate arve detsembri 2023 kohta.”) Kasutajatele, kes klõpsasid manustatud PDF-failis sisalduval OneDrive'i lingil, teenindati kohandatud pahavara duo: allalaadija nimega "WasabiSeed" ja iseenesestmõistetav "Ekraanitõmmis". Tõestus, mis kirjutas kampaaniast neljapäeval, blokeeris meilid enne, kui need soovitud sihtkohta jõudsid.

Veelgi huvitavam on see, et peamine süüdlane, keda Proofpoint jälgib kui TA866, oli üheksa kuud varem peaaegu vait. Selle kaasvandeselts TA571 näib olevat talvepausi ajal võrguühenduseta olnud. Kuid pärast kuuma šokolaadi ja pühaderõõmu nautimist kasutas endine ohunäitleja teist ohunäitlejat oma madala kvaliteediga pahatahtliku sisu massiliseks edastamiseks.

Rämpspostitajad teevad koostööd liiklusjaotajatega

TA866 on olnud aktiivne vähemalt 2022. aasta oktoobrist. Oma esimestel töönädalatel oli see siiski suhteliselt tagasihoidlik, saates vähesele hulgale organisatsioonidele vaid piiratud arvu e-kirju.

2022. aasta lõpuks hakkas grupp liikluse jaotussüsteemide (TDS) kaudu linkima pahatahtliku sisu URL-e. TDS-id on üha populaarsem küberpõranda-aluse vahendaja, mis ühendab andmepüüdjaid pahatahtlike sisupakkujatega ja filtreerib maksimaalse kasumi saamiseks vahepeal ohvrite liiklust.

Sama kiiresti kui see lüliti tegi, TA866 kampaaniad plahvatasid tuhandetele e-kirjadele iga kord. Tundub, et see jääb selle valemi juurde, kuna see viimane kampaania kasutab pahatahtlike PDF-ide levitamiseks TA571 TDS-i.

TA866 ei ole siiski TA571 ainus kuriteopartner. Eelmisel kuul näitas Proofpoint uus ohunäitleja "BattleRoyal" mis, nagu TA866, kasutas pahatahtlike URL-ide levitamiseks TDS-võrke. Sellest ajast alates on saanud selgeks, et ka BattleRoyal kasutas TA571 teenuseid.

"Selles küberkuritegevuse ökosüsteemis on sageli igal osalejal oma töö. Teil on inimesed, kes saadavad rämpsposti, müüvad laadureid, inimesed, kes teevad ärakasutamisjärgset luuret, ja sel hetkel võivad nad müüa juurdepääsu lunavaraohuga tegutsejale,“ selgitab Selena Larson, Proofpointi ohuluure vanemanalüütik. Näiteks varasemad TA866 kampaaniad hõlmasid Rhadamanthyse varastajat, Dark Web'i pakkumist, mida kasutati krüptorahakottide, Steami kontode, brauserite paroolide, FTP-klientide, vestlusklientide (nt Telegram, Discord), meiliklientide, VPN-i konfiguratsioonide, küpsiste, failide, ja veel.

Peamised ohunäitlejad puhkavad

Lisaks TDS-i partnerlustele võib eelmise nädala rünnaku ajastus kajastada ka midagi sügavamat tänapäeva küberkuritegevusest.

Täpselt sama kindlalt kui Mariah Careyt saab igal aastal talvevahetuse paiku raadiost kuulda, tõstatab küberjulgeoleku kogukond hoiatuslipud saabuvate pühaderünnakute eest. Kuid nagu Larson selgitab, "me kipume nägema mõnede suuremahuliste, mõnevõrra paremini ressurssidega küberkuritegude rühmituste aktiivsuse vähenemist, mis toimetavad rohkem pahavara kohale ja võivad viia selliste asjadeni nagu lunavara.

"Näeme sageli, et mõned suuremad e-kuritegevuse tegijad teevad pühade ajal pause. Emotet oli selleks parim näide, mis ilmus regulaarselt detsembrist jaanuari keskpaigani. Näiteks sel aastal tegi TA571 pausi detsembri keskpaigast jaanuari teise nädalani,” räägib ta. Larson märgib ka, et mõnes maailma osas ulatub pühadehooaeg sügavamale jaanuarisse kui USA-s.

Teisisõnu, tõsisemad ohunäitlejad, kes jõulud maha võtsid, võivad nüüd alles võrku saada.

"Proofpoint jälgib ka seda, kuidas teised osalejad naasevad traditsioonilistelt aastalõpu puhkusepausidelt," märkis ettevõte oma ajaveebis, "ja seega üldine ohumaastiku tegevus suureneb."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge