На прошлой неделе два разных злоумышленника объединились, чтобы разослать после праздников тысячи фишинговых писем, предназначенных для североамериканских организаций.
Если не считать объема, кампания была довольно стандартной. Что, пожалуй, более интересно, так это время проведения кампании и отношения стоящих за ней преступников.
Электронные письма содержали ленивые темы и корпоративные зацепки (например, «Привет! Во вложении вы найдете счет за декабрь 2023 года».) Пользователям, которые нажимали на ссылку OneDrive, содержащуюся во вложенном PDF-файле, была предоставлена пара специальных вредоносных программ: загрузчик под названием «WasabiSeed» и самоочевидный «Screenshotter». Доказательство, которое написал о кампании в четверг, заблокировали электронные письма до того, как они достигли намеченных пунктов назначения.
Что еще более интересно, главный виновник, которого Proofpoint отслеживает как TA866, почти молчал девять месяцев назад. Его сообщник, TA571, похоже, был отключен от сети во время зимних каникул. Но, насладившись горячим шоколадом и праздничным настроением, бывший злоумышленник использовал второго зловреда для успешной доставки низкосортного вредоносного контента в массовом масштабе.
Спамеры объединяются с распространителями трафика
TA866 активен как минимум с октября 2022 года. Однако в первые несколько недель работы он был относительно ручным, отправляя лишь ограниченное количество электронных писем небольшому числу организаций.
К концу 2022 года группа начала ссылаться на URL-адреса вредоносного контента через системы распределения трафика (TDS). TDS становятся все более популярными посредниками в киберподполье, соединяя фишеров с поставщиками вредоносного контента и фильтруя трафик жертв между ними для получения максимальной прибыли.
Так же быстро, как и произошло это переключение, Кампании TA866 взорвались до тысяч электронных писем за один оборот. Похоже, что компания придерживается этой формулы, поскольку последняя кампания использует TDS TA571 для распространения вредоносных PDF-файлов.
Однако TA866 — не единственный соучастник преступления TA571. В прошлом месяце Proofpoint показал новый актер угрозы, «BattleRoyal», который, как и TA866, использовал сети TDS для распространения вредоносных URL-адресов. С тех пор стало ясно, что BattleRoyal тоже пользуется услугами TA571.
«Часто в этой экосистеме киберпреступности у каждого участника есть своя работа. Есть люди, рассылающие спам, люди, продающие загрузчики, люди, которые проводят разведку после эксплуатации, а затем в этот момент они могут продать доступ злоумышленнику-вымогателю», — объясняет Селена Ларсон, старший аналитик по разведке угроз Proofpoint. Например, предыдущие кампании TA866 включали похититель Rhadamanthys, предложение Dark Web, используемое для захвата криптокошельков, учетных записей Steam, паролей от браузеров, FTP-клиентов, клиентов чата (например, Telegram, Discord), клиентов электронной почты, конфигураций VPN, файлов cookie, файлов и т. д. и более.
Основные участники угроз взяли отпуск
Помимо партнерства TDS, время атаки на прошлой неделе может также отражать нечто более глубокое в сегодняшнем подполье киберпреступности.
Точно так же, как Мэрайю Кэри можно услышать по радио каждый год в преддверии зимы, сообщество кибербезопасности поднимает вопросы предупреждающие флаги о предстоящих праздничных атаках. Но, как объясняет Ларсон, «мы действительно склонны наблюдать снижение активности со стороны некоторых более крупных, несколько более обеспеченных ресурсами группировок киберпреступников, которые занимаются распространением вредоносного ПО и потенциально могут привести к таким вещам, как программы-вымогатели».
«Мы часто видим, как некоторые из крупнейших участников электронных преступлений отдыхают перед праздниками. Emotet был лучшим примером в этом отношении: с декабря по середину января он регулярно прекращал свое существование. В этом году, например, TA571 взяла перерыв с середины декабря до второй недели января», — говорит она. Ларсон также отмечает, что в некоторых частях мира курортный сезон длится глубже, чем в США.
Другими словами, более серьезные злоумышленники, которые прервали Рождество, возможно, уже сейчас снова вернутся в Интернет.
«Proofpoint также наблюдает, как другие участники возвращаются с традиционных каникул в конце года, — отметила компания в своем блоге, — и, таким образом, общая активность угроз [растет]».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge
- :имеет
- :является
- $UP
- 2022
- 2023
- 7
- a
- О нас
- доступ
- Учетные записи
- активный
- деятельность
- актеры
- После
- причислены
- американские
- an
- аналитик
- и
- МЫ
- около
- AS
- At
- атаковать
- назад
- BE
- становиться
- было
- до
- за
- ЛУЧШЕЕ
- между
- заблокировал
- Блог
- Ломать
- брейки
- браузеры
- но
- под названием
- Кампания
- Кампании
- CAN
- чат
- рождество
- Очистить
- клиентов
- сообщество
- Компания
- Соединительный
- содержащегося
- содержание
- печенье
- Корпоративное
- крипто-
- крипто кошельки
- изготовленный на заказ
- кибер-
- киберпреступности
- Информационная безопасность
- темно
- Dark Web
- Декабрь
- снижение
- более глубокий
- доставить
- поставка
- направления
- предназначенный
- различный
- раздор
- распространять
- распределение
- do
- приносит
- дело
- Опустившись
- дуэт
- в течение
- e
- каждый
- экосистема
- Писем
- конец
- наслаждаясь
- Каждая
- пример
- Объясняет
- продолжается
- достаточно
- несколько
- Файлы
- фильтрация
- Найдите
- Во-первых,
- Флаги
- Что касается
- Бывший
- формула
- от
- получающий
- группы
- Группы
- Есть
- услышанный
- hi
- Выходные
- каникулы
- Крючки
- ГОРЯЧИЙ
- HTTPS
- in
- Входящий
- повышение
- все больше и больше
- Интеллекта
- предназначенных
- интересный
- в
- счет-фактура
- вовлеченный
- мобильной
- IT
- ЕГО
- январь
- работа
- JPG
- всего
- пейзаж
- Фамилия
- последний
- вести
- наименее
- такое как
- Ограниченный
- линий
- LINK
- связывающий
- сделанный
- Главная
- основной
- Создание
- злонамеренный
- вредоносных программ
- Масса
- максимальный
- Май..
- может быть
- Месяц
- месяцев
- БОЛЕЕ
- почти
- сетей
- Новые
- 9
- север
- отметил,
- Заметки
- сейчас
- номер
- октябрь
- of
- от
- предлагающий
- оффлайн
- .
- часто
- on
- онлайн
- только
- операция
- организации
- Другое
- общий
- собственный
- партнерства
- части
- пароли
- Люди
- для
- возможно
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- Популярное
- потенциально
- предыдущий
- Предварительный
- Прибыль
- поставщики
- быстро
- Радио
- повышения
- вымогателей
- достиг
- отражать
- регулярно
- отношения
- относительно
- возвращают
- Показали
- правую
- s
- говорит
- Шкала
- Время года
- Во-вторых
- посмотреть
- кажется
- продаем
- продажа
- Отправить
- отправка
- старший
- серьезный
- служил
- Услуги
- она
- с
- небольшой
- некоторые
- удалось
- в некотором роде
- спам
- распространение
- стандарт
- и политические лидеры
- Steam
- прилипание
- предмет
- Успешно
- безусловно,
- возникает
- Коммутатор
- системы
- взять
- команда
- объединился
- Telegram
- Тенденцию
- чем
- который
- Ассоциация
- мир
- их
- тогда
- они
- вещи
- этой
- В этом году
- хоть?
- тысячи
- угроза
- актеры угрозы
- Через
- Таким образом
- синхронизация
- в
- сегодня
- слишком
- приняли
- традиционный
- трафик
- ОЧЕРЕДЬ
- два
- метро
- us
- использование
- используемый
- пользователей
- использовать
- использует
- с помощью
- Жертва
- объем
- VPN
- Кошельки
- законопроект
- we
- Web
- неделя
- Недели
- были
- Что
- который
- КТО
- будете
- Зима
- слова
- Мир
- год
- Ты
- зефирнет