بازیگران تهدید برای افزایش ایمیل های فیشینگ پس از تعطیلات گروهی می کنند

بازیگران تهدید برای افزایش ایمیل های فیشینگ پس از تعطیلات گروهی می کنند

تمبر زمان: 18 ژانویه 2024، ساعت 5:46 بعد از ظهر
Threat Actors Team Up for Post-Holiday Phishing Email Surge PlatoBlockchain Data Intelligence. Vertical Search. Ai.

هفته گذشته، دو عامل تهدید مختلف با یکدیگر همکاری کردند تا هزاران ایمیل فیشینگ پس از تعطیلات را به مقصد سازمان‌های آمریکای شمالی ارسال کنند.

به غیر از حجم، کمپین کرایه نسبتاً استانداردی داشت. جالب‌تر، شاید زمان کمپین - و رابطه عاملان پشت آن باشد.

ایمیل‌ها حاوی موضوعات تنبل و قلاب‌های شرکتی بودند (به‌عنوان مثال، «سلام، در پیوست، صورت‌حساب دسامبر 2023 را خواهید یافت.») کاربرانی که روی پیوند OneDrive موجود در PDF پیوست شده کلیک کردند، به چند بدافزار سفارشی ارائه شد: دانلودکننده‌ای به نام "WasabiSeed" و "Screenshotter" بدیهی است. اثبات، که در مورد کمپین روز پنجشنبه نوشت، ایمیل ها را قبل از رسیدن به مقصد خود مسدود کرد.

نکته جالب‌تر، مقصر اصلی، که Proofpoint آن را TA866 دنبال می‌کند، نه ماه قبل تقریباً ساکت بود. به نظر می رسد که همکار آن، TA571، در تعطیلات زمستانی آفلاین بوده است. اما پس از لذت بردن از مقداری شکلات داغ و شادی تعطیلات، بازیگر سابق تهدید از عامل تهدید دوم برای ارائه موفقیت آمیز محتوای مخرب درجه پایین خود در مقیاس انبوه استفاده کرد.

هرزنامه‌ها با توزیع‌کنندگان ترافیک همکاری می‌کنند

TA866 حداقل از اکتبر 2022 فعال بوده است. اگرچه در چند هفته اول فعالیت خود، نسبتاً رام بود و فقط تعداد محدودی ایمیل به تعداد کمی از سازمان ها ارسال می کرد.

در پایان سال 2022، این گروه شروع به پیوند به URL های محتوای مخرب از طریق سیستم های توزیع ترافیک (TDSes) کرد. TDS ها واسطه های محبوب سایبری زیرزمینی هستند که فیشرها را به ارائه دهندگان محتوای مخرب متصل می کنند و ترافیک قربانی را برای حداکثر سود فیلتر می کنند.

به همان سرعتی که این سوئیچ را انجام داد، مبارزات TA866 منفجر شد به هزاران ایمیل در هر دور زدن. به نظر می رسد که به این فرمول پایبند است، زیرا این کمپین اخیر از TDS TA571 برای توزیع فایل های PDF مخرب استفاده می کند.

اگرچه TA866 تنها شریک جرم TA571 نیست. ماه گذشته، Proofpoint فاش کرد یک بازیگر تهدید کننده جدید، "BattleRoyal" که مانند TA866 از شبکه های TDS برای پخش URL های مخرب استفاده می کند. از آن زمان، مشخص شد که BattleRoyal نیز از خدمات TA571 استفاده می‌کرد.

اغلب اوقات در این اکوسیستم جرایم سایبری، هر بازیگر شغل خاص خود را دارد. شما افرادی دارید که هرزنامه می فرستند، افرادی که لودر می فروشند، افرادی که شناسایی پس از بهره برداری را انجام می دهند، و سپس در آن مرحله، ممکن است دسترسی به یک عامل تهدید باج افزار را بفروشند." به عنوان مثال، کمپین‌های قبلی TA866 شامل دزد Rhadamanthys، یک پیشنهاد Dark Web بود که برای گرفتن کیف پول‌های رمزنگاری، حساب‌های Steam، گذرواژه‌ها از مرورگرها، کلاینت‌های FTP، کلاینت‌های چت (مانند تلگرام، Discord)، کلاینت‌های ایمیل، تنظیمات VPN، کوکی‌ها، فایل‌ها، استفاده می‌شد. و بیشتر.

تهدیدهای اصلی بازیگران تعطیلات می گیرند

علاوه بر مشارکت های TDS، زمان حمله هفته گذشته نیز ممکن است منعکس کننده چیزی عمیق تر در مورد جرایم سایبری زیرزمینی امروز باشد.

همانطور که مطمئناً ماریا کری را می توان هر سال نزدیک به فصل زمستان از رادیو شنید، جامعه امنیت سایبری نیز این موضوع را مطرح می کند. پرچم های هشدار دهنده در مورد حملات ورودی تعطیلات. اما همانطور که لارسون توضیح می‌دهد، «ما تمایل داریم که شاهد کاهش فعالیت برخی از گروه‌های جرایم سایبری با حجم بالا و تا حدودی منابع خوب‌تر باشیم که ارسال بدافزار بیشتری را انجام می‌دهند و می‌توانند به مواردی مانند باج‌افزار منجر شوند.

ما اغلب می بینیم که برخی از بازیگران اصلی جرایم الکترونیکی در تعطیلات استراحت می کنند. Emotet بهترین نمونه برای این بود که به طور مرتب از دسامبر تا اواسط ژانویه خارج می شد. به عنوان مثال، امسال TA571 بین اواسط دسامبر و هفته دوم ژانویه استراحت کرد. لارسون همچنین خاطرنشان می کند که در برخی از نقاط جهان، فصل تعطیلات تا ژانویه عمیق تر از ایالات متحده است.

به عبارت دیگر، بازیگران تهدید جدی تری که کریسمس را تعطیل کردند، ممکن است اکنون دوباره آنلاین شوند.

این شرکت در وبلاگ خود خاطرنشان کرد: «Proofpoint همچنین شاهد بازگشت بازیگران دیگر از تعطیلات سنتی پایان سال است، و بنابراین فعالیت کلی چشم‌انداز تهدید [در حال افزایش] است».

تمبر زمان:

بیشتر از تاریک خواندن