ProgressCommunications.euwww.whizpr.nlwww.marcommit.nl
www.deepr.nlwww.whizpr.nlINFLUX PR

Volg ook via:
Datum: (2 jaar en 160 dagen geleden)
Bedrijf:
PR: AxiCom

TA866 keert terug in grootschalige e-mailcampagne

Wat is er gebeurd?
Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika. De mails hadden een factureringsthema en bevatte een pdf-document met namen als 'Document_[10 cijfers].pdf' en onderwerpen waaronder 'projectprestaties'. De bestanden bevatten OneDrive URL's die, na het aanklikken, een infectieketen met meerdere stappen startten, wat uiteindelijk leidde tot een malware payload variant van de WasabiSeed en Screenshotter custom toolset.



Afbeelding 1. Schermafbeelding van een e-mail met bijgevoegd pdf-bestand.

Als een gebruiker op de Onedrive URL in de pdf klikte, en dan op de OneDrive URL in de PDF:
  • Ontvingen zij een JavaScript-bestand dat op OneDrive werd gehost
  • Wanneer de gebruiker het JavaScript uitvoerde, dan werd een MSI-bestand gedownload en uitgevoerd.
  • Het MSI-bestand voerde een ingesloten WasabiSeed VBS-script uit.
  • Het WasabiSeed VBS-script voerde vervolgens een tweede MSI-bestand uit en bleef verder zoeken naar extra payloads. Tot nu toe zijn de extra payloads onbekend.
  • Tot slot bevatte het tweede MSI-bestand onderdelen van het hulpprogramma Screenshotter, dat een schermafbeelding van het bureaublad maakte en verstuurde naar C2.


Afbeelding 2. Samenvatting van de aanvalsketen: e-mail -> pdf -> OneDrive URL -> JavaScript -> MSI/VBS (WasabiSeed) -> MSI (Screenshotter).

De aanvalsketen is vergelijkbaar met de laatst gedocumenteerde e-mailcampagne waarbij deze aangepaste toolset werd gebruikt. Dit werd waargenomen op 20 maart 2023. De TA571-spamdienst werd op dezelfde manier gebruikt. De WasabiSeed-downloader en de Screenshotter-scripts en -componenten bleven bijna hetzelfde.

Een van de grootste veranderingen in deze campagne is, ten opzichte van de laatst waargenomen activiteit, het gebruik van een pdf-bijlage met een OneDrive-link. Eerdere campagnes gebruikten Publisher-bijlagen met macro’s, of 404 TDS URL's in de mail zelf.



Afbeelding 3. Schermafbeelding van het WasabiSeed-script "TermServ.vbs", met als doel een oneindige lus uit te voeren, naar de C2-server te gaan en te proberen een MSI-bestand te downloaden en uit te voeren (omwille van de leesbaarheid zijn lege regels uit dit script verwijderd).



Afbeelding 4. Schermafbeelding van 'app.js', een van de onderdelen van Screenshotter. Dit bestand voert 'snap.exe' uit, een kopie van het legitieme IrfanView om een schermafbeelding van het bureaublad op te slaan als 'gs.jpg'.



Afbeelding 5. Schermafbeelding van 'index.js', een ander onderdeel van Screenshotter. Deze code is verantwoordelijk voor het uploaden van de desktop screenshot 'gs.jpg' naar de C2 server.

Toekenning
Er zijn twee dreigingsactoren betrokken bij de waargenomen campagne. Proofpoint traceert de distributieservice die werd gebruikt voor het afleveren van de schadelijke pdf’s toe aan TA571. TA571 is een spamdistributeur die grote hoeveelheden spam-emailcampagnes verstuurt voor het afleveren en installeren van malware voor hun cybercriminele klanten.

Proofpoint linkt de tools van deze campagne, met name de JavaScript, MSI met WasabiSeed-componenten en MSI met Screenshotter-componenten aan TA866, een dreigingsactor die Proofpoint eerder documenteerden (zie [1], [2] en [3]). TA866 houdt zich met zowel crimeware- als cyberspionageactiviteiten bezig. Deze specifieke campagne lijkt financieel gemotiveerd.

Proofpoint stelt dat TA866 een georganiseerde actor is die goed doordachte aanvallen op schaal uitvoert, op basis van de beschikbaarheid van aangepaste tools, en het vermogen en de connecties om tools en diensten van andere actoren te kopen.

Opmerkelijke bevindingen
De volgende kenmerken zijn opmerkelijk voor de terugkeer van TA866 in de informatie over emaildreigingen:

  • TA866 e-mailcampagnes zijn al meer dan negen maanden uit het landschap verdwenen. Toch zijn er aanwijzingen dat de actor andere verspreidingsmethoden gebruikte.
  • Deze campagne duikt op wanneer Proofpoint vaststelt dat ook andere actoren terugkeren van de traditionele eindejaarsbreak en dus de algehele activiteit in het dreigingslandschap toeneemt.
  • De campagne probeerde WasabiSeed downloader en Screenshotter payloads af te leveren. Het is onbekend welke follow-on payload de actor zou installeren als deze tevreden was met de schermafbeeldingen die door de Screenshotter zijn gemaakt. De actor leverde in eerdere campagnes AHK Bot en Rhadamanthys Stealer.
  • De evolutie in de aanvalsketen, zoals het gebruik van nieuwe pdf-bijlagen, is ook opmerkelijk.
Voor meer informatie, klik hier.
Recent van Proofpoint  
TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Proofpoint en IBM X-Force ondersteunen verstoring van Operation Endgame

Proofpoint sluit zich aan bij OpenAI Daybreak Cyber Partner Program om verantwoorde, door AI aangestuurde cyberverdediging te bevorderen

Verstreken tijd: 2 jaar en 160 dagen
PR contact  

Logo AxiCom
Proofpoint contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo Brownies.nl
Logo Nextview
Logo Examencentrum
Logo Keuze.nl BV
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo BusinessCom
Logo Web Wings
Logo Web Wings
Logo Web Wings
Logo EPAM Systems
Logo osapiens
Logo Youforce
Logo Veeam Software
Logo Wuunder
Logo SureSync
Logo Proofpoint
Logo Techleap.nl
Logo NetApp
Logo Keepit
Logo Workday
Logo We talk SEO B.V.
Logo Buckaroo B.V.
Logo ENGIE
Logo Exact
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103868 persberichten
7044 bedrijfsprofielen
60 PR-bureauprofielen
17548 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
ProgressCommunications.euwww.whizpr.nlwww.marcommit.nl
INFLUX PRwww.deepr.nlwww.deepr.nl