Търсене
Close this search box.

Заплахите се обединяват за следпразничния скок на фишинг имейлите

Миналата седмица две различни  заплахи се обединиха, за да изпратят хиляди фишинг имейли след празниците, предназначени за организации в Северна Америка.

Освен по обем, кампанията е била доста стандартна. По-интересен е моментът на провеждане на кампанията и връзката на извършителите, които стоят зад нея.

Имейлите съдържаха лениви теми и корпоративни кукички (напр. „Здравейте, В прикачения файл ще намерите фактурата за декември 2023 г.“) На потребителите, които щракнаха върху линка към OneDrive, съдържащ се в прикачения PDF файл, беше сервиран дует от потребителски зловреден софтуер: програма за изтегляне, наречена „WasabiSeed“, и очевидния „Screenshotter“. Компанията Proofpoint, която писа за кампанията миналия четвъртък, е блокирала имейлите, преди да достигнат предназначението си.

По-интересното е, че главният виновник, който Proofpoint проследява като TA866, е бил почти безшумен в продължение на девет месеца преди това. Неговият съучастник, TA571, изглежда е бил офлайн по време на зимната ваканция. Но след като се е насладил на горещ шоколад и празнично настроение, първият екип е използвал втория, за да достави успешно масово своето нискокачествено зловредно съдържание.

Спамърите се обединяват с разпространители на трафик

TA866 е активен поне от октомври 2022 г. насам. През първите няколко седмици от дейността си обаче той беше сравнително кротък, като изпращаше само ограничен брой имейли до малък брой организации.

Към края на 2022 г. групата започва да се свързва с URL адреси на злонамерено съдържание чрез системи за разпространение на трафик (TDS). TDSes са все по-популярен посредник на киберподземието, който свързва фишерите с доставчиците на злонамерено съдържание и филтрира трафика на жертвите между тях с цел максимална печалба.

Точно толкова бързо, колкото е извършена тази промяна, кампаниите на TA866 се разрастват до хиляди имейли на обиколка. Изглежда, че той се придържа към тази формула, тъй като последната кампания използва TDS на TA571 за разпространение на злонамерените PDF файлове.

TA866 обаче не е единственият партньор в престъплението на TA571. Миналия месец Proofpoint разкри нова банда, „BattleRoyal“, която, подобно на TA866, използва мрежи TDS за разпространение на злонамерени URL адреси. Оттогава стана ясно, че и BattleRoyal е използвала услугите на TA571.

„Често в тази екосистема на киберпрестъпленията всеки извършител има своя собствена работа. Имате хора, които изпращат спам, хора, които продават зареждащи програми, хора, които извършват разузнаване след експлоатирането, а след това в този момент те могат да продадат достъп на престъпник, който заплашва с ransomware“, обяснява Селена Ларсън, старши анализатор на разузнаването на заплахите в Proofpoint. Например предишните кампании TA866 включваха крадеца Rhadamanthys – предложение от Dark Web, използвано за прихващане на крипто портфейли, Steam акаунти, пароли от браузъри, FTP клиенти, чат клиенти (напр. Telegram, Discord), имейл клиенти, VPN конфигурации, бисквитки, файлове и др.

Основните  заплахи си взимат отпуск

Освен партньорствата на TDS, времето на атаката от миналата седмица може да отразява и нещо по-дълбоко в днешния киберпрестъпнически ъндърграунд.

Точно толкова сигурно, колкото Марая Кери може да бъде чута по радиото точно около началото на зимата всяка година, общността за киберсигурност вдига предупредителни флагове за предстоящи празнични атаки. Но, както обяснява Ларсън, „имаме тенденция да наблюдаваме намаляване на активността на някои от групите за киберпрестъпления с по-голям обем и ресурси, които доставят повече зловреден софтуер и могат да доведат до неща като, потенциално, ransomware.

„Често виждаме, че някои от големите участници в електронната престъпност правят почивки по време на празниците. Най-добрият пример за това беше Emotet, която редовно прекъсваше дейността си през декември до средата на януари. Тази година, например, TA571 си взе почивка между средата на декември и втората седмица на януари“, казва тя. Ларсън също така отбелязва, че в някои части на света празничният сезон продължава по-дълбоко през януари, отколкото в САЩ.

С други думи, по-сериознитегрупировки, които са си взели почивка по Коледа, може да се върнат онлайн едва сега.

„Proofpoint наблюдава, че и други заплахи се връщат от традиционните почивки в края на годината“, отбелязва компанията в своя блог, „и по този начин общата активност на пейзажа на заплахите [се] увеличава“.

 

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!