بدافزار خطرناک TA866 با کمپین فیشینگ جدید فریبنده بازمی گردد


Warning: sprintf(): Too few arguments in /home/bia2host/public_html/blog/wp-content/themes/the-authority/inc/template-tags.php on line 28
Bia2 Host
بدافزار خطرناک TA866 با کمپین فیشینگ جدید فریبنده بازمی گردد

گزارش جدیدی از محققان امنیت سایبری Proofpoint ادعا می کند که پس از ۹ ماه وقفه، بازیگر بدنام تهدید TA866 بازگشته است، که اخیراً یک کمپین بزرگ فیشینگ را مشاهده کرده است که مردم را در آمریکای شمالی هدف قرار می دهد.

طبق آن گزارشProofpoint می گوید TA866 “چند هزار ایمیل” را با موضوعاتی مانند “دستاوردهای پروژه” و موارد مشابه ارسال کرد.

ایمیل‌ها یک پیوست PDF با نام‌هایی مانند «Document_» داشتند.[۱۰ digits].prf” و موارد مشابه. این اسناد حاوی یک URL OneDrive بودند که در صورت کلیک کردن، یک زنجیره آلودگی چند مرحله‌ای راه‌اندازی می‌شد که در نهایت یک نوع WasabiSeed را گسترش می‌داد. بد افزار.

بازیگر سازمان یافته

این بدافزار بارهای اضافی از جمله مجموعه ابزار سفارشی Screenshotter را دانلود و اجرا می کند. همانطور که از نام آن پیداست، Screenshotter از دسکتاپ آسیب دیده اسکرین شات می گیرد و به سرور فرمان و کنترل (C2) ارسال می کند. اگر مهاجمان آنچه را که در اسکرین شات ها می بینند دوست داشته باشند، اقدام به تحویل بارهای اضافی می کنند. محققان مطمئن نیستند که کدام بدافزار باشد، اما گفتند که در کمپین های قبلی، مهاجمان AHK Bot و Rhadamanthys Stealer را حذف کردند.

Proofpoint این کمپین را به دلیل شباهت هایی که با کمپین دیگری از سوی عامل تهدید داشت که در مارس سال گذشته مشاهده شد، به TA866 نسبت داد. محققان ادعا می‌کنند که در هر دو نمونه، از سرویس هرزنامه TA571 استفاده شد، دانلودر WasabiSeed تحویل داده شد و اسکریپت Screenshotter در نهایت به کار گرفته شد. اگرچه تغییرات قابل توجهی در مقایسه با کمپین مارس وجود دارد. به عنوان مثال، این گروه تصمیم گرفت از پیوست های PDF با پیوندهای OneDrive استفاده کند، که قبلاً چنین نبود. کمپین‌های قبلی از پیوست‌های ناشر فعال شده ماکرو یا ۴۰۴ URL TDS مستقیماً در متن ایمیل استفاده می‌کردند.

محققان TA866 را بر اساس در دسترس بودن ابزارهای سفارشی و توانایی به دست آوردن ابزارهای اضافی از سایر بازیگران تهدید (مانند ابزار هرزنامه از TA571) به عنوان “بازیگر سازمان یافته ای که قادر به انجام حملات خوب فکر شده در مقیاس است” توصیف می کنند. این گروه هم کمپین‌های جنایت‌افزاری و هم کمپین‌های جاسوسی سایبری را اجرا می‌کند، محققان بیشتر توضیح دادند و گفتند که این کمپین خاص انگیزه مالی داشت. نام گیرندگان ایمیل های فیشینگ ذکر نشده است.

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/dangerous-ta866-malware-returns-with-devious-new-phishing-campaign

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *