Как вредоносы WasabiSeed и Screenshotter становятся ключевыми инструментами для сбора разведданных.
Киберпреступная группа TA866, известная своими активностями в сфере фишинга, возобновила вредоносную деятельность после девятимесячного перерыва, сообщает ИБ-компания Proofpoint.
Недавно хакеры запустили масштабную кампанию, нацеленную на пользователей в Северной Америке. В рамках этой кампании распространяются тысячи фишинговых писем на тему счетов и финансов. Вложенные PDF-файлы содержат ссылки на OneDrive, которые инициируют многоступенчатую цепочку заражения, в результате чего на устройство пользователя устанавливается вредоносное ПО.
Деятельность группы TA866 впервые была задокументирована в феврале 2023 года, когда хакеры распространяли вирусы WasabiSeed и Screenshotter, способные делать снимки экрана устройства жертвы и отправлять их на контролируемый злоумышленниками домен. Эти инструменты активно использовались для сбора разведданных и определения высокоценных мишеней для последующих атак.
Позже компания ESET обнаружила связь между кампаниями TA866 и другой группировкой, известной как Asylum Ambuscade, которая занимается кибершпионажем с 2020 года. Сама цепочка атаки практически не изменилась, за исключением замены вложений Microsoft Publisher с поддержкой макросов на PDF-файлы с вредоносными ссылками OneDrive. При этом кампания полагается на спам-сервис, предоставляемый TA571 для распространения зловредных PDF-файлов.
Исследователи Proofpoint указывают на то, что TA571 — это дистрибьютор спама, который рассылает большое количество фишинговых писем с различными вирусами для своих клиентов-киберпреступников. Этим методом распространяются, например, такие известные угрозы, как AsyncRAT, NetSupport RAT, IcedID и другие.
Аналитики из Splunk также провели исследования , выявив использование вредоносных PDF-файлов в качестве носителей для установки DarkGate — программы-вымогателя, которая была впервые обнаружена в 2017 году и сейчас продаётся на подпольных форумах по модели MaaS.
Компания Cofense в своём недавнем отчёте также сообщила о фишинговых атаках, связанных с доставкой и производственным сектором, а Trellix выявила новую тактику обхода защиты, используемую злоумышленниками, которые внедряют вредоносный код в фишинговые сообщения после того, как они проходят проверку безопасности.
Таким образом, TA866 и связанные с ней группы представляют серьёзную угрозу в области кибербезопасности, используя сложные методы и уловки для достижения своих деструктивных целей.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta866-returns-large-email-campaign</pre>