گزارش جدیدی از محققان امنیت سایبری Proofpoint ادعا می کند که پس از ۹ ماه وقفه، بازیگر بدنام تهدید TA866 بازگشته است، که اخیراً یک کمپین بزرگ فیشینگ را مشاهده کرده است که مردم را در آمریکای شمالی هدف قرار می دهد.
طبق آن گزارشProofpoint می گوید TA866 “چند هزار ایمیل” را با موضوعاتی مانند “دستاوردهای پروژه” و موارد مشابه ارسال کرد.
ایمیلها یک پیوست PDF با نامهایی مانند «Document_» داشتند.[۱۰ digits].prf” و موارد مشابه. این اسناد حاوی یک URL OneDrive بودند که در صورت کلیک کردن، یک زنجیره آلودگی چند مرحلهای راهاندازی میشد که در نهایت یک نوع WasabiSeed را گسترش میداد. بد افزار.
بازیگر سازمان یافته
این بدافزار بارهای اضافی از جمله مجموعه ابزار سفارشی Screenshotter را دانلود و اجرا می کند. همانطور که از نام آن پیداست، Screenshotter از دسکتاپ آسیب دیده اسکرین شات می گیرد و به سرور فرمان و کنترل (C2) ارسال می کند. اگر مهاجمان آنچه را که در اسکرین شات ها می بینند دوست داشته باشند، اقدام به تحویل بارهای اضافی می کنند. محققان مطمئن نیستند که کدام بدافزار باشد، اما گفتند که در کمپین های قبلی، مهاجمان AHK Bot و Rhadamanthys Stealer را حذف کردند.
Proofpoint این کمپین را به دلیل شباهت هایی که با کمپین دیگری از سوی عامل تهدید داشت که در مارس سال گذشته مشاهده شد، به TA866 نسبت داد. محققان ادعا میکنند که در هر دو نمونه، از سرویس هرزنامه TA571 استفاده شد، دانلودر WasabiSeed تحویل داده شد و اسکریپت Screenshotter در نهایت به کار گرفته شد. اگرچه تغییرات قابل توجهی در مقایسه با کمپین مارس وجود دارد. به عنوان مثال، این گروه تصمیم گرفت از پیوست های PDF با پیوندهای OneDrive استفاده کند، که قبلاً چنین نبود. کمپینهای قبلی از پیوستهای ناشر فعال شده ماکرو یا ۴۰۴ URL TDS مستقیماً در متن ایمیل استفاده میکردند.
محققان TA866 را بر اساس در دسترس بودن ابزارهای سفارشی و توانایی به دست آوردن ابزارهای اضافی از سایر بازیگران تهدید (مانند ابزار هرزنامه از TA571) به عنوان “بازیگر سازمان یافته ای که قادر به انجام حملات خوب فکر شده در مقیاس است” توصیف می کنند. این گروه هم کمپینهای جنایتافزاری و هم کمپینهای جاسوسی سایبری را اجرا میکند، محققان بیشتر توضیح دادند و گفتند که این کمپین خاص انگیزه مالی داشت. نام گیرندگان ایمیل های فیشینگ ذکر نشده است.
بیشتر از TechRadar Pro
- این بدافزار «سفارشی» جدید با حملات طراحی شده به دستگاه شما ضربه می زند
- در اینجا یک لیست از بهترین فایروال ها اطراف امروز
- اینها هستند بهترین امنیت نقطه پایانی ابزار در حال حاضر
منبع: https://www.techradar.com/pro/security/dangerous-ta866-malware-returns-with-devious-new-phishing-campaign