Bedreigingsactoren werken samen voor een toename van phishing-e-mails na de vakantie

Vorige week werkten twee verschillende dreigingsactoren samen om duizenden phishing-e-mails na de vakantie te versturen, bestemd voor Noord-Amerikaanse organisaties.

Afgezien van het volume was de campagne een redelijk standaardtarief. Wat misschien nog interessanter is, is de timing van de campagne – en de relatie tussen de daders erachter.

De e-mails bevatten luie onderwerpregels en zakelijke hooks (bijvoorbeeld: "Hallo, in de bijlage vindt u de factuur voor december 2023.") Gebruikers die op de OneDrive-link in een bijgevoegde pdf klikten, kregen een duo aangepaste malware te zien: een downloader genaamd “WasabiSeed” en de vanzelfsprekende “Screenshotter.” Bewijspunt, dat schreef donderdag over de campagne, blokkeerde de e-mails voordat ze de beoogde bestemming bereikten.

Wat nog interessanter is: de hoofdschuldige, die Proofpoint traceert als TA866, was negen maanden eerder bijna stil. Zijn mede-samenzweerder, TA571, lijkt tijdens de winterstop offline te zijn geweest. Maar na te hebben genoten van warme chocolademelk en kerstsfeer, gebruikte de voormalige bedreigingsacteur laatstgenoemde bedreigingsacteur om met succes zijn laagwaardige kwaadaardige inhoud op grote schaal te verspreiden.

Spammers werken samen met verkeersdistributeurs

TA866 is in ieder geval sinds oktober 2022 actief. In de eerste paar weken dat het in gebruik was, was het echter relatief tam en stuurde het slechts een beperkt aantal e-mails naar een klein aantal organisaties.

Eind 2022 begon de groep via verkeersdistributiesystemen (TDS'en) te linken naar de URL's van kwaadaardige inhoud. TDS'en zijn een steeds populairder wordende tussenpersoon van de cyber-underground, die phishers verbindt met kwaadwillende inhoudaanbieders en daartussen het slachtofferverkeer filtert voor maximale winst.

Net zo snel als het deze overstap maakte, De campagnes van TA866 explodeerden tot duizenden e-mails per keer. Het lijkt erop dat het bij die formule blijft, aangezien deze nieuwste campagne gebruikmaakt van TA571's TDS om de kwaadaardige pdf's te verspreiden.

TA866 is echter niet de enige partner-in-crime van TA571. Vorige maand onthulde Proofpoint een nieuwe dreigingsacteur, ‘BattleRoyal’, die, net als TA866, TDS-netwerken gebruikten om kwaadaardige URL's te verspreiden. Sindsdien is duidelijk geworden dat ook BattleRoyal gebruik maakte van de diensten van TA571.

“In dit ecosysteem van cybercriminaliteit heeft elke actor vaak zijn eigen taak. Je hebt mensen die spam versturen, mensen die laders verkopen, mensen die de post-exploitatieverkenning doen, en op dat moment verkopen ze misschien toegang aan een ransomware-bedreigingsspeler”, legt Selena Larson, Proofpoint senior threat intelligence-analist, uit. Bij eerdere TA866-campagnes was bijvoorbeeld de Rhadamanthys-stealer betrokken, een Dark Web-aanbod dat wordt gebruikt voor het bemachtigen van crypto-wallets, Steam-accounts, wachtwoorden van browsers, FTP-clients, chatclients (bijv. Telegram, Discord), e-mailclients, VPN-configuraties, cookies, bestanden, en meer.

Acteurs van grote bedreigingen nemen vakantie

Naast de TDS-partnerschappen zou de timing van de aanval van vorige week ook iets diepers kunnen weerspiegelen over de hedendaagse cybercriminaliteit.

Net zo zeker als Mariah Carey elk jaar rond de winterwisseling op de radio te horen is, roept de cyberbeveiligingsgemeenschap waarschuwingsvlaggen over inkomende vakantieaanvallen. Maar zoals Larson uitlegt: “We hebben de neiging om een ​​afname van de activiteit te zien van enkele van de grotere cybercriminaliteitsgroepen met een groter volume en meer middelen, die meer malware afleveren en kunnen leiden tot zaken als, mogelijk, ransomware.

“We zien vaak dat enkele van de belangrijkste spelers op het gebied van e-criminaliteit rond de feestdagen pauze nemen. Emotet was hiervan het beste voorbeeld en kwam regelmatig van december tot half januari langs. Dit jaar nam TA571 bijvoorbeeld een pauze tussen half december en de tweede week van januari”, vertelt ze. Larson merkt ook op dat in sommige delen van de wereld de feestdagen tot dieper in januari voortduren dan in de VS.

Met andere woorden: de serieuzere dreigingsactoren die Kerstmis hebben uitgeschakeld, komen nu misschien weer online.

“Proofpoint observeert ook dat andere actoren terugkeren van de traditionele eindejaarsvakanties,” merkte het bedrijf op in zijn blog, “en dus neemt de algehele activiteit in het dreigingslandschap toe.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge