휴일 이후 피싱 이메일 급증을 위해 위협 행위자들이 협력

지난 주, 두 명의 다른 위협 행위자가 팀을 이루어 북미 조직을 대상으로 수천 개의 휴일 이후 피싱 이메일을 보냈습니다.

볼륨을 제외하면 캠페인은 상당히 표준적인 요금이었습니다. 아마도 더 흥미로운 것은 캠페인 시기와 그 배후에 있는 가해자들의 관계일 것입니다.

이메일에는 게으른 제목과 회사 관련 내용이 포함되어 있습니다(예: "안녕하세요. 첨부 파일에 2023년 XNUMX월 청구서가 있습니다."). 첨부된 PDF에 포함된 OneDrive 링크를 클릭한 사용자에게는 맞춤형 악성 코드 두 개가 제공되었습니다. "WasabiSeed"와 자명한 "스크린샷터". 증명점, 이는 목요일에 캠페인에 대해 썼습니다, 이메일이 의도한 목적지에 도달하기 전에 차단했습니다.

더 흥미로운 점은 Proofpoint가 TA866으로 추적하는 주범은 571개월 전에는 거의 침묵을 지켰다는 것입니다. 공모자인 TAXNUMX은 겨울방학 동안 오프라인 상태였던 것으로 보인다. 그러나 전직 공격자는 핫초콜릿과 명절 응원을 즐긴 후 후자를 이용하여 저등급 악성 콘텐츠를 대규모로 전송하는 데 성공했습니다.

스팸 발송자는 트래픽 배포자와 협력합니다.

TA866은 적어도 2022년 XNUMX월부터 활성화되었습니다. 그러나 처음 몇 주 동안은 비교적 순조롭게 작동하여 소수의 조직에 제한된 수의 이메일만 보냈습니다.

2022년 말부터 이 그룹은 트래픽 분산 시스템(TDS)을 통해 악성 콘텐츠의 URL에 연결하기 시작했습니다. TDS는 피셔를 악성 콘텐츠 제공업체에 연결하고 그 사이에서 피해자 트래픽을 필터링하여 최대 이익을 얻는 사이버 지하 세계의 중개자로서 점점 더 인기를 얻고 있습니다.

이 전환을 만든 만큼 빠르게, TA866의 캠페인이 폭발적으로 증가했습니다. 한 번에 수천 통의 이메일을 받을 수 있습니다. 이 최신 캠페인은 TA571의 TDS를 활용하여 악성 PDF를 배포하므로 해당 공식을 고수하는 것으로 보입니다.

하지만 TA866은 TA571의 유일한 범죄 파트너는 아닙니다. 지난 달 Proofpoint가 공개했습니다. 새로운 위협 행위자 '배틀로얄' TA866과 마찬가지로 TDS 네트워크를 활용하여 악성 URL을 확산시켰습니다. 이후 배틀로얄 역시 TA571의 서비스를 활용하고 있다는 사실이 드러났다.

“이러한 사이버 범죄 생태계에서는 각 행위자가 자신만의 임무를 갖고 있는 경우가 많습니다. 스팸을 보내는 사람, 로더를 판매하는 사람, 공격 후 정찰을 수행하는 사람이 있으며 그 시점에서 랜섬웨어 위협 행위자에게 액세스 권한을 판매할 수 있습니다.”라고 Proofpoint의 수석 위협 인텔리전스 분석가인 Selena Larson은 설명합니다. 예를 들어, 이전 TA866 캠페인에는 암호화폐 지갑, Steam 계정, 브라우저의 비밀번호, FTP 클라이언트, 채팅 클라이언트(예: Telegram, Discord), 이메일 클라이언트, VPN 구성, 쿠키, 파일 등을 빼내는 데 사용되는 다크 웹 제품인 Rhadamanthys 스틸러가 포함되었습니다. 그리고 더.

주요 위협 행위자들은 휴가를 갑니다

TDS 파트너십 외에도 지난주 공격 시기는 오늘날 지하 사이버 범죄에 대한 더 깊은 내용을 반영할 수도 있습니다.

매년 겨울이 바뀔 무렵 라디오에서 머라이어 캐리(Mariah Carey)의 노래를 들을 수 있는 것처럼 사이버 보안 커뮤니티에서도 다가오는 휴일 공격에 대한 경고 플래그. 그러나 Larson의 설명에 따르면 “더 많은 맬웨어를 전달하고 잠재적으로 랜섬웨어와 같은 문제로 이어질 수 있는 좀 더 규모가 크고 리소스도 더 풍부한 일부 사이버 범죄 그룹의 활동이 감소하는 경향이 있습니다.

“주요 전자 범죄 행위자 중 일부가 연휴에 휴식을 취하는 모습을 자주 볼 수 있습니다. Emotet은 이에 대한 가장 좋은 예였으며 571월부터 XNUMX월 중순까지 정기적으로 중단되었습니다. 예를 들어 올해 TAXNUMX은 XNUMX월 중순부터 XNUMX월 둘째 주까지 휴식을 취했습니다.”라고 그녀는 말합니다. Larson은 또한 세계 일부 지역에서는 연휴 시즌이 미국보다 XNUMX월까지 더 깊게 연장된다고 지적합니다.

즉, 크리스마스를 쉬었던 더 심각한 위협 행위자가 이제 막 온라인에 다시 접속하고 있을 수도 있습니다.

Proofpoint는 또한 다른 행위자들이 전통적인 연말 연휴를 마치고 돌아오는 것을 관찰하고 있습니다. 이에 따라 전반적인 위협 환경 활동이 증가하고 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge