เมื่อสัปดาห์ที่แล้ว ผู้ก่อภัยคุกคามสองคนได้ร่วมมือกันเพื่อส่งอีเมลฟิชชิ่งหลังวันหยุดยาวหลายพันฉบับที่มุ่งเป้าไปที่องค์กรในอเมริกาเหนือ
นอกเหนือจากปริมาณแล้ว แคมเปญนี้ยังเป็นค่าโดยสารมาตรฐานอีกด้วย สิ่งที่น่าสนใจกว่านั้นคือช่วงเวลาของการรณรงค์ และความสัมพันธ์ของผู้กระทำผิดที่อยู่เบื้องหลังการรณรงค์
อีเมลมีหัวเรื่องที่ไม่ซับซ้อนและตะขอเกี่ยวขององค์กร (เช่น “สวัสดี ในเอกสารแนบ คุณจะพบใบแจ้งหนี้สำหรับเดือนธันวาคม 2023”) ผู้ใช้ที่คลิกลิงก์ OneDrive ที่อยู่ในไฟล์ PDF ที่แนบมานั้นได้รับมัลแวร์แบบกำหนดเองสองรายการ: โปรแกรมดาวน์โหลดที่เรียกว่า “WasabiSeed” และ “ภาพหน้าจอ” ที่เห็นได้ชัดเจนในตัวเอง จุดพิสูจน์ซึ่ง เขียนเกี่ยวกับการรณรงค์เมื่อวันพฤหัสบดีบล็อกอีเมลก่อนที่จะถึงจุดหมายปลายทางที่ต้องการ
ที่น่าสนใจกว่านั้น ผู้ร้ายหลักซึ่ง Proofpoint ติดตามในชื่อ TA866 นั้นเกือบเงียบไปเป็นเวลาเก้าเดือนก่อนหน้านี้ ผู้สมรู้ร่วมคิด TA571 ดูเหมือนจะออฟไลน์ในช่วงปิดเทอมฤดูหนาว แต่หลังจากเพลิดเพลินกับช็อกโกแลตร้อนและกำลังใจในวันหยุด อดีตผู้ก่อภัยคุกคามก็ใช้ผู้ก่อภัยคุกคามรายหลังเพื่อส่งเนื้อหาที่เป็นอันตรายคุณภาพต่ำในวงกว้างได้สำเร็จ
ผู้ส่งอีเมลขยะร่วมมือกับผู้จัดจำหน่ายทราฟฟิก
TA866 เปิดใช้งานตั้งแต่อย่างน้อยเดือนตุลาคม 2022 อย่างไรก็ตาม ในช่วงสองสามสัปดาห์แรกของการดำเนินการ ค่อนข้างเชื่อง โดยส่งอีเมลในจำนวนจำกัดไปยังองค์กรจำนวนไม่มาก
ภายในสิ้นปี 2022 กลุ่มเริ่มลิงก์ไปยัง URL ของเนื้อหาที่เป็นอันตรายผ่านระบบกระจายการรับส่งข้อมูล (TDSes) TDSes เป็นตัวกลางที่ได้รับความนิยมมากขึ้นเรื่อยๆ ในโลกไซเบอร์ใต้ดิน โดยเชื่อมโยงฟิชเชอร์กับผู้ให้บริการเนื้อหาที่เป็นอันตราย และกรองการรับส่งข้อมูลของเหยื่อในระหว่างนั้นเพื่อให้ได้ผลกำไรสูงสุด
ทันทีที่มันสร้างสวิตช์นี้ แคมเปญของ TA866 ระเบิด ไปยังอีเมลหลายพันฉบับต่อรอบการใช้งาน ดูเหมือนว่าจะยึดตามสูตรนั้น เนื่องจากแคมเปญล่าสุดนี้ใช้ TDS ของ TA571 เพื่อกระจายไฟล์ PDF ที่เป็นอันตราย
TA866 ไม่ใช่พันธมิตรด้านอาชญากรรมเพียงรายเดียวของ TA571 เมื่อเดือนที่แล้ว Proofpoint เปิดเผย นักแสดงภัยคุกคามหน้าใหม่ “BattleRoyal” ซึ่งเหมือนกับ TA866 ที่ใช้เครือข่าย TDS เพื่อกระจาย URL ที่เป็นอันตราย ตั้งแต่นั้นมา เป็นที่ชัดเจนว่า BattleRoyal ก็ใช้บริการของ TA571 เช่นกัน
“บ่อยครั้งในระบบนิเวศของอาชญากรรมไซเบอร์ นักแสดงแต่ละคนมีหน้าที่ของตัวเอง คุณมีคนส่งสแปม คนขายตัวโหลด คนที่ทำการสำรวจหลังการแสวงหาประโยชน์ และเมื่อถึงจุดนั้น พวกเขาอาจขายการเข้าถึงตัวแสดงภัยคุกคามแรนซัมแวร์” Selena Larson นักวิเคราะห์ข่าวกรองภัยคุกคามอาวุโสของ Proofpoint อธิบาย ตัวอย่างเช่น แคมเปญ TA866 ก่อนหน้านี้เกี่ยวข้องกับผู้ขโมย Rhadamanthys ซึ่งเป็นข้อเสนอ Dark Web ที่ใช้สำหรับการดักจับกระเป๋าสตางค์ crypto บัญชี Steam รหัสผ่านจากเบราว์เซอร์ ไคลเอนต์ FTP ไคลเอนต์แชท (เช่น Telegram, Discord) ไคลเอนต์อีเมล การกำหนดค่า VPN คุกกี้ ไฟล์ และอื่น ๆ.
ผู้แสดงภัยคุกคามรายใหญ่ลาพักร้อน
นอกเหนือจากความร่วมมือกับ TDS แล้ว ช่วงเวลาของการโจมตีเมื่อสัปดาห์ที่แล้วยังอาจสะท้อนถึงบางสิ่งที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับอาชญากรรมในโลกไซเบอร์ในปัจจุบัน
เช่นเดียวกับที่ Mariah Carey สามารถได้ยินทางวิทยุในช่วงเปลี่ยนฤดูหนาวของทุกปี ชุมชนความปลอดภัยทางไซเบอร์ก็ยกระดับขึ้น ธงเตือนเกี่ยวกับการโจมตีในช่วงวันหยุดที่กำลังจะมาถึง. แต่ดังที่ Larson อธิบาย “เรามักจะเห็นกิจกรรมที่ลดลงจากกลุ่มอาชญากรรมไซเบอร์ที่มีปริมาณมากและค่อนข้างทรัพยากรมากกว่าบางกลุ่มที่ส่งมัลแวร์มากกว่า และอาจนำไปสู่สิ่งต่าง ๆ เช่น อาจเป็นแรนซัมแวร์ได้
“เรามักจะเห็นนักแสดงอาชญากรรมอิเล็กทรอนิกส์รายใหญ่บางคนหยุดพักช่วงวันหยุด Emotet เคยเป็นตัวอย่างที่ดีที่สุดสำหรับเรื่องนี้ โดยจะออกเป็นประจำในเดือนธันวาคมถึงกลางเดือนมกราคม ตัวอย่างเช่นในปีนี้ TA571 ได้หยุดพักระหว่างกลางเดือนธันวาคมถึงสัปดาห์ที่สองของเดือนมกราคม” เธอกล่าว Larson ยังตั้งข้อสังเกตอีกว่าในบางส่วนของโลก ช่วงเทศกาลวันหยุดจะขยายไปจนถึงเดือนมกราคมมากกว่าในสหรัฐอเมริกา
กล่าวอีกนัยหนึ่ง ผู้คุกคามที่จริงจังกว่าที่หยุดคริสต์มาสอาจกลับมาออนไลน์อีกครั้งในตอนนี้
“Proofpoint ยังเฝ้าสังเกตนักแสดงคนอื่นๆ ที่กลับมาจากการหยุดพักผ่อนช่วงวันหยุดสิ้นปีแบบดั้งเดิม” บริษัทระบุไว้ในบล็อก “และทำให้กิจกรรมภาพรวมภัยคุกคามโดยรวม [กำลัง] เพิ่มขึ้น”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge
- :มี
- :เป็น
- $ ขึ้น
- 2022
- 2023
- 7
- a
- เกี่ยวกับเรา
- เข้า
- บัญชี
- คล่องแคล่ว
- อยากทำกิจกรรม
- นักแสดง
- หลังจาก
- ด้วย
- อเมริกัน
- an
- นักวิเคราะห์
- และ
- เป็น
- รอบ
- AS
- At
- โจมตี
- กลับ
- BE
- กลายเป็น
- รับ
- ก่อน
- หลัง
- ที่ดีที่สุด
- ระหว่าง
- ที่ถูกบล็อก
- บล็อก
- ทำลาย
- แบ่ง
- เบราว์เซอร์
- แต่
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- CAN
- พูดคุย
- คริสต์มาส
- ชัดเจน
- ลูกค้า
- ชุมชน
- บริษัท
- การเชื่อมต่อ
- ที่มีอยู่
- เนื้อหา
- คุ้กกี้
- ไทม์ไลน์การ
- การเข้ารหัสลับ
- crypto wallets
- ประเพณี
- ไซเบอร์
- อาชญากรรม
- cybersecurity
- มืด
- Dark Web
- ธันวาคม
- ลดลง
- ลึก
- ส่งมอบ
- การจัดส่ง
- สถานที่ท่องเที่ยว
- ลิขิต
- ต่าง
- บาดหมางกัน
- กระจาย
- การกระจาย
- do
- ทำ
- การทำ
- ลดลง
- ทั้งคู่
- ในระหว่าง
- e
- แต่ละ
- ระบบนิเวศ
- อีเมล
- อีเมล
- ปลาย
- เพลิดเพลินกับ
- ทุกๆ
- ตัวอย่าง
- อธิบาย
- ขยาย
- อย่างเป็นธรรม
- สองสาม
- ไฟล์
- กรอง
- หา
- ชื่อจริง
- ธง
- สำหรับ
- อดีต
- สูตร
- ราคาเริ่มต้นที่
- ได้รับ
- บัญชีกลุ่ม
- กลุ่ม
- มี
- ได้ยิน
- hi
- วันหยุด
- วันหยุด
- ตะขอ
- ร้อน
- HTTPS
- in
- ขาเข้า
- ที่เพิ่มขึ้น
- ขึ้น
- Intelligence
- ตั้งใจว่า
- น่าสนใจ
- เข้าไป
- ใบกำกับสินค้า
- ร่วมมือ
- ISN
- IT
- ITS
- มกราคม
- การสัมภาษณ์
- jpg
- เพียงแค่
- ภูมิประเทศ
- ชื่อสกุล
- ล่าสุด
- นำ
- น้อยที่สุด
- กดไลก์
- ถูก จำกัด
- เส้น
- LINK
- การเชื่อมโยง
- ทำ
- หลัก
- สำคัญ
- การทำ
- ที่เป็นอันตราย
- มัลแวร์
- มวล
- สูงสุด
- อาจ..
- อาจ
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- เกือบทั้งหมด
- เครือข่าย
- ใหม่
- เก้า
- ทางทิศเหนือ
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ตอนนี้
- จำนวน
- ตุลาคม
- of
- ปิด
- การเสนอ
- ออฟไลน์
- มักจะ
- บ่อยครั้ง
- on
- ออนไลน์
- เพียง
- การดำเนินการ
- องค์กร
- อื่นๆ
- ทั้งหมด
- ของตนเอง
- ความร่วมมือ
- ส่วน
- รหัสผ่าน
- รูปแบบไฟล์ PDF
- คน
- ต่อ
- บางที
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ยอดนิยม
- ที่อาจเกิดขึ้น
- ก่อน
- ก่อน
- กำไร
- ผู้ให้บริการ
- อย่างรวดเร็ว
- วิทยุ
- ยก
- ransomware
- ถึง
- สะท้อน
- สม่ำเสมอ
- ความสัมพันธ์
- สัมพัทธ์
- กลับ
- เปิดเผย
- ขวา
- s
- พูดว่า
- ขนาด
- ฤดู
- ที่สอง
- เห็น
- ดูเหมือนว่า
- ขาย
- Selling
- ส่ง
- การส่ง
- ระดับอาวุโส
- ร้ายแรง
- ให้บริการ
- บริการ
- เธอ
- ตั้งแต่
- เล็ก
- บาง
- บางสิ่งบางอย่าง
- ค่อนข้าง
- สแปม
- กระจาย
- มาตรฐาน
- ข้อความที่เริ่ม
- อบไอน้ำ
- การผสาน
- หรือ
- ประสบความสำเร็จ
- อย่างแน่นอน
- พรั่ง
- สวิตซ์
- ระบบ
- เอา
- ทีม
- ร่วม
- Telegram
- มีแนวโน้ม
- กว่า
- ที่
- พื้นที่
- โลก
- ของพวกเขา
- แล้วก็
- พวกเขา
- สิ่ง
- นี้
- ในปีนี้
- แต่?
- พัน
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- ดังนั้น
- ระยะเวลา
- ไปยัง
- ในวันนี้
- เกินไป
- เอา
- แบบดั้งเดิม
- การจราจร
- กลับ
- สอง
- ใต้ดิน
- us
- ใช้
- มือสอง
- ผู้ใช้
- ใช้
- ใช้ประโยชน์
- ผ่านทาง
- เหยื่อ
- ปริมาณ
- VPN
- กระเป๋าสตางค์
- คือ
- we
- เว็บ
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- คือ
- อะไร
- ที่
- WHO
- จะ
- ฤดูหนาว
- กับ
- คำ
- โลก
- ปี
- คุณ
- ลมทะเล