Новости Градус email-фишинга повышается: TA866 использует новый метод атаки

NewsMaker

I'm just a script
Премиум
13,848
20
8 Ноя 2022
Как вредоносы WasabiSeed и Screenshotter становятся ключевыми инструментами для сбора разведданных.


f5ncx7c51lp6empdrg9xpdw6dqq3rhj1.jpg


Киберпреступная группа TA866, известная своими активностями в сфере фишинга , возобновила вредоносную деятельность после девятимесячного перерыва, Для просмотра ссылки Войди или Зарегистрируйся ИБ-компания Proofpoint .

Недавно хакеры запустили масштабную кампанию, нацеленную на пользователей в Северной Америке. В рамках этой кампании распространяются тысячи фишинговых писем на тему счетов и финансов. Вложенные PDF -файлы содержат ссылки на OneDrive, которые инициируют многоступенчатую цепочку заражения, в результате чего на устройство пользователя устанавливается вредоносное ПО.

Деятельность группы TA866 впервые была задокументирована в феврале 2023 года, когда хакеры распространяли вирусы WasabiSeed и Screenshotter, способные делать снимки экрана устройства жертвы и отправлять их на контролируемый злоумышленниками домен. Эти инструменты активно использовались для сбора разведданных и определения высокоценных мишеней для последующих атак.

Позже компания ESET Для просмотра ссылки Войди или Зарегистрируйся связь между кампаниями TA866 и другой группировкой, известной как Asylum Ambuscade, которая занимается кибершпионажем с 2020 года. Сама цепочка атаки практически не изменилась, за исключением замены вложений Microsoft Publisher с поддержкой макросов на PDF-файлы с вредоносными ссылками OneDrive. При этом кампания полагается на спам-сервис, предоставляемый TA571 для распространения зловредных PDF-файлов.

Исследователи Proofpoint указывают на то, что TA571 — это дистрибьютор спама, который рассылает большое количество фишинговых писем с различными вирусами для своих клиентов-киберпреступников. Этим методом распространяются, например, такие известные угрозы, как AsyncRAT , NetSupport RAT, IcedID и другие.

Аналитики из Splunk также Для просмотра ссылки Войди или Зарегистрируйся , выявив использование вредоносных PDF-файлов в качестве носителей для установки DarkGate — программы-вымогателя, которая была впервые обнаружена в 2017 году и сейчас продаётся на подпольных форумах по модели MaaS .

Компания Cofense в Для просмотра ссылки Войди или Зарегистрируйся также сообщила о фишинговых атаках, связанных с доставкой и производственным сектором, а Trellix выявила новую тактику обхода защиты, используемую злоумышленниками, которые внедряют вредоносный код в фишинговые сообщения после того, как они проходят проверку безопасности.

Таким образом, TA866 и связанные с ней группы представляют серьёзную угрозу в области кибербезопасности, используя сложные методы и уловки для достижения своих деструктивных целей.
 
Источник новости
www.securitylab.ru

Похожие темы