De bedreigingsacteur gevolgd als TA866 is na een onderbreking van negen maanden weer opgedoken met een nieuwe grootschalige phishing-campagne om bekende malwarefamilies zoals WasabiSeed en Screenshotter af te leveren.
De campagne, die eerder deze maand werd waargenomen en op 11 januari 2024 door Proofpoint werd geblokkeerd, omvatte het verzenden van duizenden e-mails met factuurthema, gericht op Noord-Amerika, met lok-PDF-bestanden.
“De pdf’s bevatten OneDrive-URL’s die, als erop werd geklikt, een uit meerdere stappen bestaande infectieketen op gang brachten die uiteindelijk leidde tot de malware-payload, een variant van de aangepaste toolset van WasabiSeed en Screenshotter”, aldus het beveiligingsbedrijf.
TA866 werd voor het eerst gedocumenteerd door het bedrijf in februari 2023, waarbij het werd toegeschreven aan een campagne genaamd Screentime die WasabiSeed verspreidde, een Visual Basic-scriptdropper die wordt gebruikt om Screenshotter te downloaden, die in staat is om met regelmatige tussenpozen screenshots van het bureaublad van het slachtoffer te maken en te exfiltreren die gegevens naar een door een actor gecontroleerd domein.
Er zijn aanwijzingen dat de georganiseerde actor mogelijk financieel gemotiveerd is vanwege het feit dat Screenshotter fungeert als een verkenningsinstrument om waardevolle doelen voor post-exploitatie te identificeren en een op AutoHotKey (AHK) gebaseerde bot in te zetten om uiteindelijk de Rhadamanthys te laten vallen. informatie steler.
Latere bevindingen van het Slowaakse cyberbeveiligingsbedrijf ESET in juni 2023 brachten overlappingen aan het licht tussen Screentime en een andere inbraakset genaamd Asylum Ambuscade, een crimeware-groep die minstens sinds 2020 actief is en zich ook bezighoudt met cyberspionageoperaties.
De nieuwste aanvalsketen blijft vrijwel ongewijzigd, afgezien van de overstap van Macro-enabled Publisher-bijlagen naar PDF’s met een frauduleuze OneDrive-link, waarbij de campagne afhankelijk is van een spamservice van TA571 om de in boobytraps terechtgekomen PDF’s te verspreiden.
“TA571 is een spamdistributeur en deze actor verzendt grote volumes spam-e-mailcampagnes om een verscheidenheid aan malware te leveren en te installeren voor hun cybercriminele klanten”, aldus Proofpoint-onderzoeker Axel F.
Dit omvat AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (ook bekend als Qbot) en DarkGate, waarvan de laatste aanvallers in staat stelt verschillende opdrachten uit te voeren, zoals informatiediefstal, cryptocurrency-mining en het uitvoeren van willekeurige programma’s.
“Darkgate verscheen voor het eerst in 2017 en wordt alleen aan een klein aantal aanvalsgroepen verkocht in de vorm van Malware-as-a-Service via ondergrondse forums”, zei het Zuid-Koreaanse cyberbeveiligingsbedrijf S2W deze week in een analyse van de malware.
“DarkGate blijft het updaten door functies toe te voegen en bugs te repareren op basis van analyseresultaten van beveiligingsonderzoekers en leveranciers”, wat de voortdurende inspanningen van tegenstanders benadrukt om anti-analysetechnieken te implementeren om detectie te omzeilen.
Het nieuws over de heropleving van TA866 komt op het moment dat Cofense onthulde dat verzendgerelateerde phishing-e-mails vooral de productiesector uitkiezen om malware zoals Agent Tesla en Formbook te verspreiden.
“E-mails met een verzendthema nemen toe tijdens de feestdagen, zij het slechts in geringe mate”, zegt Cofense-beveiligingsonderzoeker Nathaniel Raymond.
“Voor het grootste deel suggereren de jaarlijkse trends dat deze e-mails het hele jaar door een bepaalde trend volgen met variërende volumes, waarbij de belangrijkste volumes in juni, oktober en november plaatsvinden.”
De ontwikkeling volgt ook op de ontdekking van een nieuwe ontwijkingstactiek die gebruik maakt van het cachingmechanisme van beveiligingsproducten om deze te omzeilen door een Call To Action (CTA)-URL op te nemen die naar een vertrouwde website verwijst in het phishing-bericht dat naar de beoogde persoon wordt verzonden.
“Hun strategie houdt in dat een ogenschijnlijk goedaardige versie van de aanvalsvector in de cache wordt opgeslagen en deze vervolgens wordt gewijzigd om een kwaadaardige lading te leveren”, aldus Trellix, waarbij hij stelt dat dergelijke aanvallen onevenredig gericht zijn gericht op financiële dienstverlening, productie, detailhandel en verzekeringen in Italië, de VS, Frankrijk. , Australië en India.
Wanneer een dergelijke URL door de beveiligingsengine wordt gescand, wordt deze als veilig gemarkeerd en wordt het oordeel voor een bepaalde tijd in de cache opgeslagen. Dit betekent ook dat als de URL binnen die periode opnieuw wordt aangetroffen, de URL niet opnieuw wordt verwerkt en in plaats daarvan het in de cache opgeslagen resultaat wordt weergegeven.
Trellix wees erop dat aanvallers misbruik maken van deze gril door te wachten tot de beveiligingsleveranciers de CTA-URL hebben verwerkt en hun oordeel in de cache hebben opgeslagen, en vervolgens de link te wijzigen om door te verwijzen naar de beoogde phishing-pagina.
“Nu het vonnis gunstig is, belandt de e-mail soepel in de inbox van het slachtoffer”, zeggen beveiligingsonderzoekers Sushant Kumar Arya, Daksh Kapur en Rohan Shah. “Mocht de nietsvermoedende ontvanger besluiten de e-mail te openen en op de link/knop in de CTA-URL te klikken, dan worden ze doorgestuurd naar de kwaadaardige pagina.”
