Onderzoekers van Proofpoint hebben een nieuwe campagne geïdentificeerd van de zeer actieve cybercriminele groep TA551. Deze groep maakt gebruik van een legitiem "Red Team & adversary simulation Framework". De nieuwe activiteit wijkt sterk af van de eerder geobserveerde activiteit van deze groep. Proofpoint acht het zeer waarschijnlijk dat de nieuwe aanvallen kunnen leiden tot ransomware-infecties.
TA551 is een criminele groep die Proofpoint al sinds 2016 volgt. De groep is bij andere security-bedrijven bekend als Shathak. Proofpoint gaat er vanuit dat TA551 toegang krijgt tot gestolen berichten of gecompromitteerde e-mailaccounts, ook wel bekend als thread hijacking. Deze toegang wordt door de criminelen gebruikt voor e-mailaanvallen waarmee ransomware wordt verspreid. TA551 heeft eerder malware-payloads verspreid zoals Ursnif, IcedID, Qbot, en Emotet. Deze speler verzorgt de initiële toegang binnen een bedrijf voor ransomware-criminelen. Proofpoint heeft geconstateerd dat campagnes met banking trojans van TA551 hebben geleid tot ransomware-infecties. Proofpoint acht de kans groot dat TA551 IcedID-implementaties verband houden met Maze- en Egregor-ransomware-aanvallen in 2020.
Op 20 oktober 2021 ontdekte Proofpoint verdachte e-mails met daarin Word-documenten die met een wachtwoord waren beveiligd. De bijlagen leidden uiteindelijk tot de download van Sliver, een open-source, cross-platform framework voor adversary simulation (het nabootsen van aanvallers) en red teams. De activiteit week aanzienlijk af van eerdere tactieken, technieken en procedures van TA551.
Afbeelding 1: Gekaapte e-mail-thread met een gezipt Word-document.
Wanneer een slachtoffer de gezipte bijlage downloadt, worden ze uiteindelijk naar een met macro's geladen Microsoft Word-document geleid. Als macro's zijn ingeschakeld, wordt SLIVER gedownload.
Afbeelding 2: Schadelijk Microsoft Word-document dat slachtoffers vraagt om macro's in te schakelen.
SLIVER is gratis online beschikbaar, en kan informatie verzamelen, heeft command and control (C2)-functionaliteit, kan tokens manipuleren, processen injecteren en meer. Red teaming-tools worden steeds populairder bij cybercriminelen. Proofpoint heeft bijvoorbeeld een toename van 161% gezien in het gebruik van Cobalt Strike door aanvallers tussen 2019 en 2020. Aanvullende offensieve frameworks die verschijnen als first stage payloads en die worden gebruikt door cybercriminelen zijn onder andere Lemon Tree en Veil.
TA551's gebruik van SLIVER geeft aan hoe flexibel de aanvallers zijn. TA551 probeert de toegang tot slachtoffers te verkopen om zo Cobalt Strike en uiteindelijk ransomware te kunnen installeren. Met SLIVER kunnen de criminelen achter TA551 direct toegang krijgen en onmiddellijk communiceren met slachtoffers. Daarbij hebben ze meer mogelijkheden om aanvallen uit te voeren, een organisatie in hun greep te houden en zich binnen een organisatie te verspreiden. Dit maakt mogelijk een einde aan de afhankelijkheid van secundaire toegang voor cybercriminelen.