Uhkanäyttelijät tekevät yhteistyötä loman jälkeisen tietojenkalastelun sähköpostihuippuun

Viime viikolla kaksi erilaista uhkatekijää liittoutui lähettääkseen tuhansia lomatauon jälkeisiä tietojenkalasteluviestejä pohjoisamerikkalaisille organisaatioille.

Volyymiä lukuun ottamatta kampanja oli melko tavallinen hinta. Mielenkiintoisempaa on ehkä kampanjan ajoitus – ja sen takana olevien tekijöiden suhde.

Sähköpostit sisälsivät laiskoja aiherivejä ja yrityksen koukkuja (esim. "Hei, liitteenä löydät laskun joulukuulta 2023.") Käyttäjille, jotka napsautivat liitteenä olevan PDF-tiedoston OneDrive-linkkiä, toimitettiin kaksi mukautettua haittaohjelmaa: latausohjelma nimeltä "WasabiSeed" ja itsestään selvä "Screenshotter". Todistus, mikä kirjoitti kampanjasta torstaina, esti sähköpostit ennen kuin ne saapuivat aiottuun määränpäähänsä.

Mielenkiintoisempaan kohtaan pääsyyllinen, jota Proofpoint jäljittää nimellä TA866, oli melkein hiljaa yhdeksän kuukautta aiemmin. Sen salaliittolainen TA571 näyttää olleen offline-tilassa talvitauon aikana. Mutta nautittuaan kuumaa kaakaota ja lomahuippua entinen uhkanäyttelijä käytti jälkimmäistä uhkanäyttelijää toimittaakseen onnistuneesti huonolaatuista haitallista sisältöä massamittakaavassa.

Roskapostittajat tekevät yhteistyötä liikenteen jakajien kanssa

TA866 on ollut aktiivinen ainakin lokakuusta 2022 lähtien. Ensimmäisinä toimintaviikkoina se oli kuitenkin suhteellisen hillitty, sillä se lähetti vain rajoitetun määrän sähköposteja pienelle määrälle organisaatioita.

Vuoden 2022 loppuun mennessä ryhmä alkoi linkittää haitallisen sisällön URL-osoitteisiin liikenteen jakelujärjestelmien (TDS) kautta. TDS:t ovat yhä suositumpi cyber underground -välittäjä, joka yhdistää tietojenkalastelijat haitallisiin sisällöntuottajiin ja suodattaa välillä uhriliikennettä maksimaalisen tuoton saavuttamiseksi.

Yhtä nopeasti kuin se teki tämän vaihdon, TA866:n kampanjat räjähtivät tuhansiin sähköposteihin kiertoa kohden. Se näyttää noudattavan tätä kaavaa, koska tämä uusin kampanja käyttää TA571:n TDS:ää haitallisten PDF-tiedostojen jakamiseen.

TA866 ei kuitenkaan ole TA571:n ainoa rikoskumppani. Viime kuussa Proofpoint paljasti uusi uhkanäyttelijä, "BattleRoyal" joka, kuten TA866, hyödynsi TDS-verkkoja haitallisten URL-osoitteiden levittämiseen. Sittemmin on käynyt selväksi, että myös BattleRoyal on käyttänyt TA571:n palveluita.

”Usein tässä kyberrikollisuuden ekosysteemissä jokaisella toimijalla on oma tehtävänsä. Sinulla on ihmisiä, jotka lähettävät roskapostia, myyvät kuormauslaitteita, ihmiset tekevät hyväksikäytön jälkeistä tiedustelua, ja sitten he saattavat myydä pääsyn kiristyshaittaohjelmien uhkatekijöille”, selittää Selena Larson, Proofpointin vanhempi uhkatiedon analyytikko. Esimerkiksi aiemmissa TA866-kampanjoissa oli mukana Rhadamanthys-varastaja, Dark Web -tarjous, jota käytettiin salauslompakoiden, Steam-tilien, selaimien salasanojen, FTP-asiakkaiden, chat-ohjelmien (esim. Telegram, Discord), sähköpostiohjelmien, VPN-kokoonpanojen, evästeiden, tiedostojen, ja enemmän.

Tärkeimmät uhkanäyttelijät viettävät lomaa

TDS-kumppanuuksien lisäksi viime viikon hyökkäyksen ajoitus saattaa myös heijastaa jotain syvempää tämän päivän kyberrikollisuudesta maanalaisessa.

Yhtä varmasti kuin Mariah Carey voidaan kuulla radiossa heti talven vaihteessa joka vuosi, kyberturvallisuusyhteisö herättää varoitusliput saapuvista lomahyökkäyksistä. Mutta kuten Larson selittää, "meillä on taipumus havaita joidenkin suurempien määrien, jonkin verran paremmin resurssettujen kyberrikollisryhmien aktiivisuuden lasku, jotka toimittavat enemmän haittaohjelmia ja voivat johtaa esimerkiksi lunnasohjelmiin.

"Näemme usein joidenkin tärkeimmistä sähköisen rikollisuuden toimijoista pitävän taukoja lomien ympärillä. Emotet oli tähän asti paras esimerkki, joka putoaa säännöllisesti joulukuusta tammikuun puoliväliin. Esimerkiksi tänä vuonna TA571 piti tauon joulukuun puolivälin ja tammikuun toisen viikon välillä”, hän kertoo. Larson huomauttaa myös, että joissain osissa maailmaa lomakausi ulottuu syvemmälle tammikuuhun kuin Yhdysvalloissa.

Toisin sanoen vakavammat uhkatoimijat, jotka ottivat joulun pois, saattavat juuri nyt palata verkkoon.

"Proofpoint tarkkailee myös muiden toimijoiden paluuta perinteisiltä vuoden lopun lomalomailta", yhtiö totesi blogissaan, "ja siten yleinen uhkamaisemaaktiivisuus [on] lisääntymässä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge