Site icon Kiber.ba

Sigurnosni sažetak: TA866 se vraća s velikom kampanjom e-pošte

Sigurnosni sažetak: TA866 se vraća s velikom kampanjom e-pošte - Kiber.ba

Sigurnosni sažetak: TA866 se vraća s velikom kampanjom e-pošte - Kiber.ba

Šta se desilo 

Proofpoint istraživači su identifikovali povratak TA866 u kampanje prijetnji putem e-pošte, nakon devet mjeseci odsustva. Proofpoint je 11. januara 2024. blokirao veliku kampanju koja se sastojala od nekoliko hiljada e-mailova usmjerenih na Sjevernu Ameriku. E-poruke s temom faktura imale su priložene PDF-ove s nazivima kao što su “Dokument_[10 cifara].pdf” i raznim temama kao što su “Dostignuća projekta”. PDF-ovi su sadržavali OneDrive URL-ove koji su, ako se kliknu, pokretali lanac infekcije u više koraka koji je na kraju doveo do malver payload-a, varijante prilagođenog skupa alata WasabiSeed i Screenshotter. 

Snimak ekrana e-pošte s priloženim PDF-om. 

Ako je korisnik kliknuo na OneDrive URL unutar PDF-a, bili su: 

Sažetak lanca napada: Email > PDF > OneDrive URL > JavaScript > MSI / VBS (WasabiSeed) > MSI (Screenshotter).

Lanac napada bio je sličan poslednjoj dokumentovanoj kampanji e-pošte koja je koristila ovaj prilagođeni skup alata koji je primijetio Proofpoint 20. marta 2023. Sličnosti su pomogle pri atribuciji. Konkretno, TA571 spam usluga je korišćena na sličan način, WasabiSeed downloader je ostao skoro isti, a skripte i komponente Screenshotter-a su ostale gotovo iste. (Napomena analitičara: Iako Proofpoint nije prvobitno povezao TTP-ove isporuke sa TA571 u našoj prvoj publikaciji o TA866, naknadna analiza je pripisala isporuku malspam kampanja iz 2023. TA571, a naknadnu aktivnost nakon eksploatacije TA866.) 

Jedna od najvećih promjena u ovoj kampanji u odnosu na posljednju uočenu aktivnost bila je upotreba PDF priloga koji sadrži OneDrive link, što je bilo potpuno novo. Prethodne kampanje su obično koristile Publisher priloge s omogućenim makroima ili 404 TDS URL-ove direktno u tijelu e-pošte. 

Snimak ekrana WasabiSeed skripte “TermServ.vbs” čija je svrha da izvrši beskonačnu petlju, dopre do C2 servera i pokuša da preuzme i pokrene MSI fajl (prazni redovi su uklonjeni iz ove skripte radi čitljivosti). 

Snimak ekrana “app.js”, jedne od komponenti Screenshotter-a. Ova datoteka pokreće “snap.exe”, kopiju legitimne izvršne datoteke IrfanView, (također uključena u MSI) da bi sačuvala snimak ekrana radne površine kao “gs.jpg”. 

Snimak ekrana “index.js”, još jedne komponente Screenshotter-a. Ovaj kod je odgovoran za otpremanje snimka ekrana desktopa ”gs.jpg” na C2 server. 

Pripisivanje 

Dva su hakera uključena u posmatranu kampanju. Proofpoint prati uslugu distribucije koja se koristi za isporuku zlonamjernog PDF-a kao da pripada hakeru poznatom kao TA571. TA571 je distributer neželjene pošte, a ovaj haker šalje velike količine neželjenih e-mail kampanja kako bi isporučio i instalirao razni malver za svoje sajberkriminalne klijente. 

Proofpoint prati alate nakon eksploatacije, posebno JavaScript, MSI sa komponentama WasabiSeed, i MSI sa komponentama Screenshotter koji pripadaju TA866. TA866 je haker koga su prethodno dokumentovali Proofpoint i kolege. Poznato je da se TA866 bavi i kriminalnim softverom i aktivnostima sajber špijunaže. Čini se da je ova posebna kampanja finansijski motivisana. 

Proofpoint procjenjuje da je TA866 organizovani haker sposoban da izvede dobro osmišljene napade u velikom obimu na osnovu njihove dostupnosti prilagođenih alata, te sposobnosti i veza za kupovinu alata i usluga od drugih hakera. 

Zašto je važno 

Sljedeće su značajne karakteristike povratka TA866 u podatke o prijetnjama putem e-pošte: 

Izvor: proofpoint

Exit mobile version