นักแสดงภัยคุกคามรวมทีมเพื่อโจมตีอีเมลฟิชชิ่งหลังวันหยุด

นักแสดงภัยคุกคามรวมทีมเพื่อโจมตีอีเมลฟิชชิ่งหลังวันหยุด

ประทับเวลา: 18 มกราคม 2024 5:46 น
ผู้แสดงภัยคุกคามร่วมมือกันเพื่อโจมตีข้อมูลอัจฉริยะทางอีเมลฟิชชิ่งหลังวันหยุด PlatoBlockchain ค้นหาแนวตั้ง AI.

เมื่อสัปดาห์ที่แล้ว ผู้ก่อภัยคุกคามสองคนได้ร่วมมือกันเพื่อส่งอีเมลฟิชชิ่งหลังวันหยุดยาวหลายพันฉบับที่มุ่งเป้าไปที่องค์กรในอเมริกาเหนือ

นอกเหนือจากปริมาณแล้ว แคมเปญนี้ยังเป็นค่าโดยสารมาตรฐานอีกด้วย สิ่งที่น่าสนใจกว่านั้นคือช่วงเวลาของการรณรงค์ และความสัมพันธ์ของผู้กระทำผิดที่อยู่เบื้องหลังการรณรงค์

อีเมลมีหัวเรื่องที่ไม่ซับซ้อนและตะขอเกี่ยวขององค์กร (เช่น “สวัสดี ในเอกสารแนบ คุณจะพบใบแจ้งหนี้สำหรับเดือนธันวาคม 2023”) ผู้ใช้ที่คลิกลิงก์ OneDrive ที่อยู่ในไฟล์ PDF ที่แนบมานั้นได้รับมัลแวร์แบบกำหนดเองสองรายการ: โปรแกรมดาวน์โหลดที่เรียกว่า “WasabiSeed” และ “ภาพหน้าจอ” ที่เห็นได้ชัดเจนในตัวเอง จุดพิสูจน์ซึ่ง เขียนเกี่ยวกับการรณรงค์เมื่อวันพฤหัสบดีบล็อกอีเมลก่อนที่จะถึงจุดหมายปลายทางที่ต้องการ

ที่น่าสนใจกว่านั้น ผู้ร้ายหลักซึ่ง Proofpoint ติดตามในชื่อ TA866 นั้นเกือบเงียบไปเป็นเวลาเก้าเดือนก่อนหน้านี้ ผู้สมรู้ร่วมคิด TA571 ดูเหมือนจะออฟไลน์ในช่วงปิดเทอมฤดูหนาว แต่หลังจากเพลิดเพลินกับช็อกโกแลตร้อนและกำลังใจในวันหยุด อดีตผู้ก่อภัยคุกคามก็ใช้ผู้ก่อภัยคุกคามรายหลังเพื่อส่งเนื้อหาที่เป็นอันตรายคุณภาพต่ำในวงกว้างได้สำเร็จ

ผู้ส่งอีเมลขยะร่วมมือกับผู้จัดจำหน่ายทราฟฟิก

TA866 เปิดใช้งานตั้งแต่อย่างน้อยเดือนตุลาคม 2022 อย่างไรก็ตาม ในช่วงสองสามสัปดาห์แรกของการดำเนินการ ค่อนข้างเชื่อง โดยส่งอีเมลในจำนวนจำกัดไปยังองค์กรจำนวนไม่มาก

ภายในสิ้นปี 2022 กลุ่มเริ่มลิงก์ไปยัง URL ของเนื้อหาที่เป็นอันตรายผ่านระบบกระจายการรับส่งข้อมูล (TDSes) TDSes เป็นตัวกลางที่ได้รับความนิยมมากขึ้นเรื่อยๆ ในโลกไซเบอร์ใต้ดิน โดยเชื่อมโยงฟิชเชอร์กับผู้ให้บริการเนื้อหาที่เป็นอันตราย และกรองการรับส่งข้อมูลของเหยื่อในระหว่างนั้นเพื่อให้ได้ผลกำไรสูงสุด

ทันทีที่มันสร้างสวิตช์นี้ แคมเปญของ TA866 ระเบิด ไปยังอีเมลหลายพันฉบับต่อรอบการใช้งาน ดูเหมือนว่าจะยึดตามสูตรนั้น เนื่องจากแคมเปญล่าสุดนี้ใช้ TDS ของ TA571 เพื่อกระจายไฟล์ PDF ที่เป็นอันตราย

TA866 ไม่ใช่พันธมิตรด้านอาชญากรรมเพียงรายเดียวของ TA571 เมื่อเดือนที่แล้ว Proofpoint เปิดเผย นักแสดงภัยคุกคามหน้าใหม่ “BattleRoyal” ซึ่งเหมือนกับ TA866 ที่ใช้เครือข่าย TDS เพื่อกระจาย URL ที่เป็นอันตราย ตั้งแต่นั้นมา เป็นที่ชัดเจนว่า BattleRoyal ก็ใช้บริการของ TA571 เช่นกัน

“บ่อยครั้งในระบบนิเวศของอาชญากรรมไซเบอร์ นักแสดงแต่ละคนมีหน้าที่ของตัวเอง คุณมีคนส่งสแปม คนขายตัวโหลด คนที่ทำการสำรวจหลังการแสวงหาประโยชน์ และเมื่อถึงจุดนั้น พวกเขาอาจขายการเข้าถึงตัวแสดงภัยคุกคามแรนซัมแวร์” Selena Larson นักวิเคราะห์ข่าวกรองภัยคุกคามอาวุโสของ Proofpoint อธิบาย ตัวอย่างเช่น แคมเปญ TA866 ก่อนหน้านี้เกี่ยวข้องกับผู้ขโมย Rhadamanthys ซึ่งเป็นข้อเสนอ Dark Web ที่ใช้สำหรับการดักจับกระเป๋าสตางค์ crypto บัญชี Steam รหัสผ่านจากเบราว์เซอร์ ไคลเอนต์ FTP ไคลเอนต์แชท (เช่น Telegram, Discord) ไคลเอนต์อีเมล การกำหนดค่า VPN คุกกี้ ไฟล์ และอื่น ๆ.

ผู้แสดงภัยคุกคามรายใหญ่ลาพักร้อน

นอกเหนือจากความร่วมมือกับ TDS แล้ว ช่วงเวลาของการโจมตีเมื่อสัปดาห์ที่แล้วยังอาจสะท้อนถึงบางสิ่งที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับอาชญากรรมในโลกไซเบอร์ในปัจจุบัน

เช่นเดียวกับที่ Mariah Carey สามารถได้ยินทางวิทยุในช่วงเปลี่ยนฤดูหนาวของทุกปี ชุมชนความปลอดภัยทางไซเบอร์ก็ยกระดับขึ้น ธงเตือนเกี่ยวกับการโจมตีในช่วงวันหยุดที่กำลังจะมาถึง. แต่ดังที่ Larson อธิบาย “เรามักจะเห็นกิจกรรมที่ลดลงจากกลุ่มอาชญากรรมไซเบอร์ที่มีปริมาณมากและค่อนข้างทรัพยากรมากกว่าบางกลุ่มที่ส่งมัลแวร์มากกว่า และอาจนำไปสู่สิ่งต่าง ๆ เช่น อาจเป็นแรนซัมแวร์ได้

“เรามักจะเห็นนักแสดงอาชญากรรมอิเล็กทรอนิกส์รายใหญ่บางคนหยุดพักช่วงวันหยุด Emotet เคยเป็นตัวอย่างที่ดีที่สุดสำหรับเรื่องนี้ โดยจะออกเป็นประจำในเดือนธันวาคมถึงกลางเดือนมกราคม ตัวอย่างเช่นในปีนี้ TA571 ได้หยุดพักระหว่างกลางเดือนธันวาคมถึงสัปดาห์ที่สองของเดือนมกราคม” เธอกล่าว Larson ยังตั้งข้อสังเกตอีกว่าในบางส่วนของโลก ช่วงเทศกาลวันหยุดจะขยายไปจนถึงเดือนมกราคมมากกว่าในสหรัฐอเมริกา

กล่าวอีกนัยหนึ่ง ผู้คุกคามที่จริงจังกว่าที่หยุดคริสต์มาสอาจกลับมาออนไลน์อีกครั้งในตอนนี้

“Proofpoint ยังเฝ้าสังเกตนักแสดงคนอื่นๆ ที่กลับมาจากการหยุดพักผ่อนช่วงวันหยุดสิ้นปีแบบดั้งเดิม” บริษัทระบุไว้ในบล็อก “และทำให้กิจกรรมภาพรวมภัยคุกคามโดยรวม [กำลัง] เพิ่มขึ้น”

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด