Geçtiğimiz hafta iki farklı tehdit aktörü, tatil tatili sonrası Kuzey Amerika kuruluşlarına yönelik binlerce kimlik avı e-postası göndermek için bir araya geldi.
Hacim dışında kampanya oldukça standart bir ücretti. Belki de daha ilginç olan şey, kampanyanın zamanlaması ve arkasındaki faillerin ilişkisidir.
E-postalar boş konu satırları ve kurumsal kancalar içeriyordu (örneğin, “Merhaba, Ekte Aralık 2023’e ait faturayı bulacaksınız.”) Ekli PDF’de bulunan OneDrive bağlantısını tıklayan kullanıcılara bir çift özel kötü amaçlı yazılım sunuldu: adlı bir indirici “WasabiSeed” ve apaçık “Ekran Görüntüleyici”. Kanıt noktası, Perşembe günü kampanya hakkında yazdıe-postaları hedeflerine ulaşmadan engelledi.
Daha da ilginci, Proofpoint’in TA866 olarak takip ettiği ana suçlu, dokuz ay öncesine kadar neredeyse sessizdi. İşbirlikçi TA571’in kış tatili sırasında çevrimdışı olduğu görülüyor. Ancak eski tehdit aktörü, biraz sıcak çikolata ve tatil neşesinin tadını çıkardıktan sonra, düşük dereceli kötü amaçlı içeriğini büyük ölçekte başarılı bir şekilde yaymak için ikinci tehdit aktörünü kullandı.
Spam Gönderenler Trafik Dağıtıcılarıyla İşbirliği Yapıyor
TA866, en az Ekim 2022’den beri aktif. Ancak operasyonunun ilk birkaç haftasında nispeten uysaldı ve az sayıda kuruluşa yalnızca sınırlı sayıda e-posta gönderiyordu.
Grup, 2022’nin sonunda trafik dağıtım sistemleri (TDS’ler) aracılığıyla kötü amaçlı içeriğin URL’lerine bağlanmaya başladı. TDS’ler, kimlik avcılarını kötü amaçlı içerik sağlayıcılara bağlayan ve aradaki kurban trafiğini maksimum kâr için filtreleyen, siber yeraltında giderek daha popüler hale gelen bir aracıdır.
Bu geçişi yaptığı kadar çabuk, TA866’nın kampanyaları patladı her geçişte binlerce e-postaya. Bu son kampanya, kötü amaçlı PDF’leri dağıtmak için TA571’in TDS’sini kullandığından, bu formüle bağlı kalınıyor gibi görünüyor.
Ancak TA866, TA571’in tek suç ortağı değil. Geçen ay Proofpoint ortaya çıktı yeni bir tehdit aktörü “BattleRoyal” TA866 gibi, kötü amaçlı URL’leri yaymak için TDS ağlarını kullandı. O zamandan beri BattleRoyal’in de TA571’in hizmetlerinden faydalandığı ortaya çıktı.
“Çoğu zaman bu siber suç ekosisteminde her aktörün kendi işi vardır. Spam gönderen insanlar, yükleyici satan insanlar, istismar sonrası keşif yapan insanlar var ve bu noktada bir fidye yazılımı tehdit aktörüne erişim satabilirler.” Proofpoint kıdemli tehdit istihbaratı analisti Selena Larson şöyle açıklıyor: Örneğin, önceki TA866 kampanyaları, kripto cüzdanlarını, Steam hesaplarını, tarayıcılardaki şifreleri, FTP istemcilerini, sohbet istemcilerini (örn. Telegram, Discord), e-posta istemcilerini, VPN yapılandırmalarını, çerezleri, dosyaları ele geçirmek için kullanılan bir Dark Web teklifi olan Rhadamanthys hırsızını içeriyordu. ve dahası.
Büyük Tehdit Aktörleri Tatile Çıkıyor
TDS ortaklıklarının yanı sıra, geçen haftaki saldırının zamanlaması da günümüzün yeraltındaki siber suçları hakkında daha derin şeyleri yansıtıyor olabilir.
Her yıl kışın başında radyoda Mariah Carey’in sesinin duyulması gibi, siber güvenlik topluluğu da seslerini yükseltiyor. yaklaşan tatil saldırılarıyla ilgili uyarı bayrakları. Ancak Larson’un açıkladığı gibi, “daha fazla kötü amaçlı yazılım dağıtımı yapan ve potansiyel olarak fidye yazılımı gibi şeylere yol açabilen daha yüksek hacimli, biraz daha iyi kaynaklara sahip siber suç gruplarının bazılarının faaliyetlerinde bir azalma görme eğilimindeyiz.
“Önemli e-suç aktörlerinden bazılarının tatillerde ara verdiklerini sık sık görüyoruz. Emotet bunun en iyi örneğiydi; Aralık ayından Ocak ortasına kadar düzenli olarak ayrılıyordu. Örneğin bu yıl, TA571 ortası ile ortası arasında bir ara verdi. -Aralık ve Ocak ayının ikinci haftası” diyor. Larson ayrıca dünyanın bazı bölgelerinde tatil sezonunun ABD’ye kıyasla Ocak ayına kadar uzandığını da belirtiyor.
Başka bir deyişle, Noel’i iptal eden daha ciddi tehdit aktörleri artık yeniden çevrimiçi olmaya başlıyor olabilir.
Şirketin blogunda “Proofpoint aynı zamanda diğer aktörlerin geleneksel yıl sonu tatillerinden geri döndüğünü de gözlemliyor” ve dolayısıyla genel tehdit ortamı faaliyeti de gözlemleniyor. [is] artan.”
