Участники угроз объединяются для борьбы с всплеском фишинговой электронной почты после праздников

На прошлой неделе два разных злоумышленника объединились, чтобы разослать после праздников тысячи фишинговых писем, предназначенных для североамериканских организаций.

Если не считать объема, кампания была довольно стандартной. Что, пожалуй, более интересно, так это время проведения кампании и отношения стоящих за ней преступников.

Электронные письма содержали ленивые темы и корпоративные зацепки (например, «Привет! Во вложении вы найдете счет за декабрь 2023 года».) Пользователям, которые нажимали на ссылку OneDrive, содержащуюся во вложенном PDF-файле, была предоставлена ​​пара специальных вредоносных программ: загрузчик под названием «WasabiSeed» и самоочевидный «Screenshotter». Доказательство, которое написал о кампании в четверг, заблокировали электронные письма до того, как они достигли намеченных пунктов назначения.

Что еще более интересно, главный виновник, которого Proofpoint отслеживает как TA866, почти молчал девять месяцев назад. Его сообщник, TA571, похоже, был отключен от сети во время зимних каникул. Но, насладившись горячим шоколадом и праздничным настроением, бывший злоумышленник использовал второго зловреда для успешной доставки низкосортного вредоносного контента в массовом масштабе.

Спамеры объединяются с распространителями трафика

TA866 активен как минимум с октября 2022 года. Однако в первые несколько недель работы он был относительно ручным, отправляя лишь ограниченное количество электронных писем небольшому числу организаций.

К концу 2022 года группа начала ссылаться на URL-адреса вредоносного контента через системы распределения трафика (TDS). TDS становятся все более популярными посредниками в киберподполье, соединяя фишеров с поставщиками вредоносного контента и фильтруя трафик жертв между ними для получения максимальной прибыли.

Так же быстро, как и произошло это переключение, Кампании TA866 взорвались до тысяч электронных писем за один оборот. Похоже, что компания придерживается этой формулы, поскольку последняя кампания использует TDS TA571 для распространения вредоносных PDF-файлов.

Однако TA866 — не единственный соучастник преступления TA571. В прошлом месяце Proofpoint показал новый актер угрозы, «BattleRoyal», который, как и TA866, использовал сети TDS для распространения вредоносных URL-адресов. С тех пор стало ясно, что BattleRoyal тоже пользуется услугами TA571.

«Часто в этой экосистеме киберпреступности у каждого участника есть своя работа. Есть люди, рассылающие спам, люди, продающие загрузчики, люди, которые проводят разведку после эксплуатации, а затем в этот момент они могут продать доступ злоумышленнику-вымогателю», — объясняет Селена Ларсон, старший аналитик по разведке угроз Proofpoint. Например, предыдущие кампании TA866 включали похититель Rhadamanthys, предложение Dark Web, используемое для захвата криптокошельков, учетных записей Steam, паролей от браузеров, FTP-клиентов, клиентов чата (например, Telegram, Discord), клиентов электронной почты, конфигураций VPN, файлов cookie, файлов и т. д. и более.

Основные участники угроз взяли отпуск

Помимо партнерства TDS, время атаки на прошлой неделе может также отражать нечто более глубокое в сегодняшнем подполье киберпреступности.

Точно так же, как Мэрайю Кэри можно услышать по радио каждый год в преддверии зимы, сообщество кибербезопасности поднимает вопросы предупреждающие флаги о предстоящих праздничных атаках. Но, как объясняет Ларсон, «мы действительно склонны наблюдать снижение активности со стороны некоторых более крупных, несколько более обеспеченных ресурсами группировок киберпреступников, которые занимаются распространением вредоносного ПО и потенциально могут привести к таким вещам, как программы-вымогатели».

«Мы часто видим, как некоторые из крупнейших участников электронных преступлений отдыхают перед праздниками. Emotet был лучшим примером в этом отношении: с декабря по середину января он регулярно прекращал свое существование. В этом году, например, TA571 взяла перерыв с середины декабря до второй недели января», — говорит она. Ларсон также отмечает, что в некоторых частях мира курортный сезон длится глубже, чем в США.

Другими словами, более серьезные злоумышленники, которые прервали Рождество, возможно, уже сейчас снова вернутся в Интернет.

«Proofpoint также наблюдает, как другие участники возвращаются с традиционных каникул в конце года, — отметила компания в своем блоге, — и, таким образом, общая активность угроз [растет]».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge