Интересно Градус email-фишинга повышается: TA866 использует новый метод атаки

[Sepultura_North]

​

Градус email-фишинга повышается: TA866 использует новый метод атаки​

22 января, 2024

Как вредоносы WasabiSeed и Screenshotter становятся ключевыми инструментами для сбора разведданных.

Киберпреступная группа TA866, известная своими активностями в сфере Фишинг (phishing) - это метод мошенничества, когда злоумышленник пытается получить доступ к личной информации, такой как пароли, номера банковских карт и другие конфиденциальные данные, путем подделки электронных сообщений, сайтов, приложений и других форм интернет-коммуникации.
фишинга, возобновила вредоносную деятельность после девятимесячного перерыва, сообщает ИБ-компания Proofpoint - это компания, которая занимается защитой от цифровых угроз. Она предлагает ряд решений для защиты корпоративных почтовых систем, включая фильтрацию спама и мошеннических писем, защиту от вредоносного ПО и фишинга, а также контроль доступа к электронной почте и мониторинг компрометации учетных данных. Компания также предоставляет решения для защиты социальных медиа, мобильных устройств и ключевых информационных систем. Она сотрудничает с крупными корпорациями и правительственными организациями по всему миру для обеспечения защиты их цифровой инфраструктуры от различных угроз.
Proofpoint.

Недавно хакеры запустили масштабную кампанию, нацеленную на пользователей в Северной Америке. В рамках этой кампании распространяются тысячи фишинговых писем на тему счетов и финансов. Вложенные PDF (Portable Document Format) - это формат электронных документов, разработанный компанией Adobe Systems. Он предназначен для представления и обмена документами в универсальном виде, сохраняя их оригинальный внешний вид и структуру, независимо от программного или аппаратного обеспечения, на котором они открываются.

PDF-файлы могут содержать текст, изображения, графику, таблицы, ссылки, формы и другие элементы документа. Они могут быть созданы из различных исходных форматов, таких как Microsoft Word, Excel или PowerPoint, а также изображений или сканов бумажных документов.
PDF-файлы содержат ссылки на OneDrive, которые инициируют многоступенчатую цепочку заражения, в результате чего на устройство пользователя устанавливается вредоносное ПО.

Деятельность группы TA866 впервые была задокументирована в феврале 2023 года, когда хакеры распространяли вирусы WasabiSeed и Screenshotter, способные делать снимки экрана устройства жертвы и отправлять их на контролируемый злоумышленниками домен. Эти инструменты активно использовались для сбора разведданных и определения высокоценных мишеней для последующих атак.
Позже компания ESET - это международная компания, специализирующаяся на разработке антивирусных программ и решений для компьютерной безопасности. Компания была основана в Словакии в 1992 году. Её продукты включают антивирусное программное обеспечение, антиспам и защиту от вредоносных программ для компьютеров и мобильных устройств.

ESET известна своими продуктами, такими как NOD32 и Smart Security, которые предлагают надежную защиту от вирусов и прочих угроз в сети Интернет. Компания имеет множество клиентов по всему миру и придерживается высоких стандартов безопасности в своих продуктах.
ESET обнаружила связь между кампаниями TA866 и другой группировкой, известной как Asylum Ambuscade, которая занимается кибершпионажем с 2020 года. Сама цепочка атаки практически не изменилась, за исключением замены вложений Microsoft - это американская многопрофильная компания, занимающаяся разработкой программного обеспечения и производством компьютерной техники. Она была основана в 1975 году Биллом Гейтсом и Полом Алленом и на сегодняшний день является одной из самых крупных и известных IT-компаний в мире.

Среди продуктов Microsoft наиболее известными являются операционные системы Windows, пакеты офисных приложений Office, браузер Internet Explorer и поисковая система Bing. Кроме того, компания занимается разработкой программного обеспечения для серверов, баз данных, игровых консолей Xbox и многих других устройств.

Microsoft также предоставляет услуги облачных вычислений и хранения данных через свою платформу Azure, а также занимается разработкой искусственного интеллекта и других инновационных технологий. Компания имеет филиалы по всему миру и сотрудничает с многими крупными корпорациями и организациями.
Microsoft Publisher с поддержкой макросов на PDF-файлы с вредоносными ссылками OneDrive. При этом кампания полагается на спам-сервис, предоставляемый TA571 для распространения зловредных PDF-файлов.

Исследователи Proofpoint указывают на то, что TA571 — это дистрибьютор спама, который рассылает большое количество фишинговых писем с различными вирусами для своих клиентов-киберпреступников. Этим методом распространяются, например, такие известные угрозы, как AsyncRAT - это троян удаленного доступа RAT, который позволяет злоумышленникам удаленно контролировать компьютеры в заражённой сети. AsyncRAT имеет множество функций, таких как регистрация нажатий клавиш, запись аудио/видео, кража информации, удаленное управление рабочим столом, восстановление паролей, запуск удаленной оболочки, доставка полезной нагрузки и другие.
AsyncRAT, NetSupport RAT, Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян, но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям.

IcedID доставляется через фишинговые электронные письма в ISO-файлах, архивах или вложениях документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером и доставляет дополнительные полезные нагрузки.IcedID и другие.


Аналитики из Splunk - это популярная платформа для сбора, анализа и визуализации данных, которая используется в области мониторинга, анализа безопасности и управления данными. Она позволяет организациям собирать и обрабатывать различные виды данных из разных источников, включая журналы событий, метрики и данные о приложениях.

Splunk позволяет проводить поиск, анализировать и коррелировать данные для выявления аномалий, угроз безопасности, а также для получения ценной информации для принятия решений. Эта платформа широко применяется в IT-сфере, а также в других отраслях для улучшения работы и безопасности систем и приложений." Splunk также провели исследования , выявив использование вредоносных PDF-файлов в качестве носителей для установки DarkGate — программы-вымогателя, которая была впервые обнаружена в 2017 году и сейчас продаётся на подпольных форумах по модели Malware-as-a-Service;MaaS - вредоносное ПО как услуга - аренда программного и аппаратного обеспечения для проведения кибератак. Владельцы MaaS-серверов предоставляют платный доступ к ботнету, распространяющему вредоносное ПО. Клиенты могут контролировать атаку через личный кабинет, а также обращаться за помощью в техническую поддержку." MaaS.

Компания Cofense ранее известная как PhishMe - это компания, которая специализируется на обучении сотрудников предприятий умению распознавать и предотвращать фишинг-атаки и другие виды киберугроз. Cofense в своём недавнем отчёте также сообщила о фишинговых атаках, связанных с доставкой и производственным сектором, а Trellix выявила новую тактику обхода защиты, используемую злоумышленниками, которые внедряют вредоносный код в фишинговые сообщения после того, как они проходят проверку безопасности.

Таким образом, TA866 и связанные с ней группы представляют серьёзную угрозу в области кибербезопасности, используя сложные методы и уловки для достижения своих деструктивных целей.