A fenyegető szereplők összefognak az ünnepek utáni adathalász e-mailek megugrására

A múlt héten két különböző fenyegetés szereplője összefogott, hogy az ünnepek szünete után több ezer adathalász e-mailt küldjenek észak-amerikai szervezeteknek.

A mennyiségtől eltekintve a kampány meglehetősen szokásos viteldíj volt. Ami még érdekesebb, az a kampány időzítése – és a mögötte álló elkövetők kapcsolata.

Az e-mailek lusta tárgysorokat és vállalati akasztókat tartalmaztak (pl. „Szia, a csatolva megtalálja a 2023. decemberi számlát.”) Azokat a felhasználókat, akik a csatolt PDF-ben található OneDrive hivatkozásra kattintottak, egy egyedi rosszindulatú program kettősét látták el: egy letöltőt, „WasabiSeed” és a magától értetődő „Screenshotter”. Bizonyíték, ami írt a kampányról csütörtökön, blokkolta az e-maileket, mielőtt azok elérték volna a kívánt célt.

Ami még érdekesebb, a főbűnös, akit a Proofpoint TA866-ként követ, majdnem hallgatott kilenc hónapig. Társa, a TA571 úgy tűnik, offline volt a téli szünetben. De miután elfogyasztott néhány forró csokoládét és az ünnepi vidámságot, az előbbi fenyegetőző színész az utóbbi fenyegetőzőt használta fel arra, hogy sikeresen eljuttassa az alacsony minőségű rosszindulatú tartalmat tömegesen.

A spammerek összefognak a forgalomelosztókkal

A TA866 legalább 2022 októbere óta aktív. Működésének első heteiben azonban viszonylag szelíd volt, és csak korlátozott számú e-mailt küldött néhány szervezetnek.

2022 végére a csoport forgalomelosztó rendszereken (TDS-ek) keresztül kezdett el linkelni a rosszindulatú tartalom URL-címeire. A TDS-ek a kiberföldalatti egyre népszerűbb közvetítői, összekötik az adathalászokat a rosszindulatú tartalomszolgáltatókkal, és a maximális profit érdekében kiszűrik az áldozat forgalmat.

Amilyen gyorsan megtörtént ez a váltás, A TA866 hadjáratai robbanásszerűen beindultak körönként több ezer e-mailhez. Úgy tűnik, ragaszkodik ehhez a képlethez, mivel ez a legújabb kampány a TA571 TDS-jét használja a rosszindulatú PDF-ek terjesztésére.

A TA866 azonban nem a TA571 egyetlen bűnpartnere. A múlt hónapban a Proofpoint felfedte egy új fenyegetés szereplő, a „BattleRoyal” amely a TA866-hoz hasonlóan TDS-hálózatokat használt a rosszindulatú URL-ek terjesztésére. Azóta világossá vált, hogy a BattleRoyal is igénybe vette a TA571 szolgáltatásait.

„A kiberbűnözés ezen ökoszisztémájában gyakran minden szereplőnek megvan a maga feladata. Vannak emberek, akik kéretlen leveleket küldenek, betöltőket árulnak, akik a kizsákmányolás utáni felderítést végzik, majd ezen a ponton eladhatják a hozzáférést egy ransomware-t fenyegető szereplőnek” – magyarázza Selena Larson, a Proofpoint vezető fenyegetettségi hírszerzési elemzője. A korábbi TA866 kampányok például a Rhadamanthys lopót tartalmazták, egy sötét webes ajánlatot, amelyet titkosított pénztárcák, Steam fiókok, böngészőkből származó jelszavak, FTP kliensek, chatkliensek (pl. Telegram, Discord), e-mail kliensek, VPN konfigurációk, cookie-k, fájlok, és több.

A főbb fenyegetőző színészek nyaralnak

A TDS-partnerségek mellett a múlt heti támadás időpontja is valami mélyebbre utalhat a mai földalatti kiberbűnözéssel kapcsolatban.

Amilyen biztosan Mariah Carey hallható a rádióban minden évben tél fordulóján, a kiberbiztonsági közösség felveti figyelmeztető zászlók a bejövő ünnepi támadásokról. De ahogy Larson kifejti, „hajlamosak vagyunk megfigyelni néhány nagyobb volumenű, némileg jobban erőforrásokkal rendelkező számítógépes bűnözői csoport tevékenységének csökkenését, amelyek több rosszindulatú programot szállítanak ki, és olyan dolgokhoz vezethetnek, mint például a zsarolóprogramok.

„Gyakran látjuk, hogy az e-bűnözés jelentős szereplői szüneteket tartanak az ünnepek körül. Erre korábban az Emotet volt a legjobb példa, amely decembertől január közepéig rendszeresen leszállt. Idén például a TA571 szünetet tartott december közepe és január második hete között” – mondja. Larson azt is megjegyzi, hogy a világ egyes részein az ünnepi szezon mélyebben januárig tart, mint az Egyesült Államokban.

Más szóval, azok a komolyabb fenyegetés szereplői, akik a karácsonyt kikapcsolták, lehet, hogy mostanra újra online vannak.

„A Proofpoint azt is megfigyeli, hogy más szereplők visszatérnek a hagyományos év végi ünnepi szünetekről” – jegyezte meg a cég a blogjában –, és így az általános fenyegetettségi terület növekszik.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge