威胁行为者联手应对节后网络钓鱼电子邮件激增

上周，两个不同的威胁参与者联手向北美组织发送了数千封假期后网络钓鱼电子邮件。

除了数量之外，这次活动的票价相当标准。也许更有趣的是该活动的时机以及其背后的肇事者之间的关系。

这些电子邮件包含懒惰的主题行和公司挂钩（例如，“嗨，在附件中，您将找到 2023 年 XNUMX 月的发票。”）单击随附 PDF 中包含的 OneDrive 链接的用户会收到两个自定义恶意软件：一个名为“WasabiSeed”和不言而喻的“Screenshotter”。证明点，其中 周四写了有关该活动的文章，在电子邮件到达预定目的地之前将其阻止。

更有趣的是，Proofpoint 追踪的罪魁祸首 TA866 在 571 个月前几乎保持沉默。它的同谋TAXNUMX似乎在寒假期间一直处于离线状态。但在享受了一些热巧克力和节日欢呼后，前一个威胁行为者利用后一个威胁行为者成功地大规模传播了其低级恶意内容。

垃圾邮件发送者与流量分发者合作

TA866 至少自 2022 年 XNUMX 月起就一直活跃。不过，在运行的最初几周，它相对温和，仅向少数组织发送有限数量的电子邮件。

到 2022 年底，该组织开始通过流量分配系统 (TDSes) 链接到恶意内容的 URL。 TDS 是越来越受欢迎的地下网络中间人，它将网络钓鱼者与恶意内容提供商联系起来，并过滤其间的受害者流量，以实现最大利润。

就在它做出这个转变的同时， TA866的活动炸了 每次飞行都会收到数千封电子邮件。它似乎坚持这个公式，因为这个最新的活动利用 TA571 的 TDS 来分发恶意 PDF。

不过，TA866 并不是 TA571 唯一的同伙。上个月，Proofpoint 透露 一个新的威胁演员“BattleRoyal” 与 TA866 一样，它利用 TDS 网络传播恶意 URL。从那时起，很明显 BattleRoyal 也在使用 TA571 的服务。

“通常在这个网络犯罪生态系统中，每个参与者都有自己的工作。有人发送垃圾邮件、有人出售加载程序、有人进行利用后侦察，然后他们可能会向勒索软件威胁行为者出售访问权限。”Proofpoint 高级威胁情报分析师 Selena Larson 解释道。例如，之前的 TA866 活动涉及 Rhadamanthys 窃取程序，这是一种暗网产品，用于窃取加密钱包、Steam 帐户、浏览器密码、FTP 客户端、聊天客户端（例如 Telegram、Discord）、电子邮件客户端、VPN 配置、cookie、文件、和更多。

主要威胁者休假

除了 TDS 合作伙伴关系之外，上周的攻击时间也可能反映出当今地下网络犯罪的一些更深层次的情况。

正如每年冬末之际可以在广播中听到玛丽亚·凯莉 (Mariah Carey) 的声音一样，网络安全社区也提出了这样的问题： 关于即将到来的假日袭击的警告标志。但正如拉尔森所解释的那样，“我们确实倾向于看到一些数量更大、资源更丰富的网络犯罪团伙的活动有所减少，这些团伙进行更多的恶意软件传播，并可能导致勒索软件等问题。

“我们经常看到一些主要的网络犯罪分子在假期期间休息。 Emotet 曾经是最好的例子，它定期在 571 月到 XNUMX 月中旬发布。例如，今年 TAXNUMX 在 XNUMX 月中旬和 XNUMX 月第二周之间休息，”她说。拉尔森还指出，在世界某些地区，假期季节比美国延长至一月。

换句话说，那些在圣诞节休假的更严重的威胁行为者现在可能刚刚重新上线。

该公司在博客中指出：“Proofpoint 还观察到其他参与者从传统的年终假期中返回，因此总体威胁态势活动正在增加。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge