TA866 ist nach über neunmonatiger Abwesenheit wieder auf der Cybercrime-Bildfläche erschienen. Die Cyberkriminellen haben sich mit TA571 zusammengetan, um im großen Maßstab neue Angriffe auszuführen.
Selena Larsen, Senior Threat Intelligence Analyst bei Proofpoint, kommentiert die Rückkehr der Bande: „TA866 ist einzigartig, weil die Gruppe maßgeschneiderte Malware und handelsübliche Malware-Dienste einsetzt und sowohl mit eCrime- als auch mit Advanced Persistent Threat (APT)-Aktivitäten in Verbindung gebracht wird. Wir hatten TA866 seit etwa neun Monaten nicht mehr in unseren Daten gesehen, und ihr erneutes Auftauchen mit einer groß angelegten E-Mail-Kampagne ist bemerkenswert. Ihre jüngste Aktivität deckt sich mit der anderer Cyberkrimineller, die offenbar ihren Urlaub beendet haben. Alles deutet darauf hin, dass die generelle Bedrohungsaktivität mit Voranschreiten des Jahres 2024 wieder zunimmt.“
TA866 wieder in Aktion
Proofpoint hat erstmals am 11. Januar 2024 wieder Aktivitäten von TA866 entdeckt und blockiert. Es handelt sich um eine groß angelegte Kampagne mit mehreren tausend E-Mails. Die E-Mails verwendeten den Begriff „Rechnung“ im Betreff sowie PDF-Anhänge. Die PDFs enthielten OneDrive-URLs, die nach dem Anklicken eine mehrstufige Infektionskette in Gang setzten, die schließlich zur Malware-Payload führte, einer Variante des WasabiSeed und Screenshotter -Toolsets.
Eine der größten Veränderungen bei dieser Kampagne gegenüber der letzten beobachteten Aktivität war die Verwendung eines PDF-Anhangs mit einem OneDrive-Link. Frühere Kampagnen nutzten makroaktivierte Publisher-Anhänge oder 404 TDS-URLs direkt im E-Mail-Text.
An der Kampagne sind zwei Gruppen Cyberkrimineller beteiligt. Der Verteilungsdienst, der zur Bereitstellung der bösartigen PDF-Datei verwendet wurde, lässt sich TA571 zuordnen. TA571 ist ein Spam-Verteiler, der in großem Umfang Spam-E-Mail-Kampagnen verbreitet, um eine Vielzahl von Schadprogrammen für seine kriminellen Kunden auszuliefern und zu installieren.
Die eingesetzten Post-Exploitation-Tools, insbesondere das JavaScript, MSI mit WasabiSeed-Komponenten und MSI mit Screenshotter-Komponenten, lassen sich TA866 zuordnen. TA866 ist dafür bekannt, dass sie sowohl Crimeware als auch Cyberspionageaktivitäten durchführt. Diese jüngste Kampagne scheint finanziell motiviert zu sein.
Proofpoint ordnet TA866 als gut organisierten Akteur ein, der in der Lage ist, gut durchdachte Angriffe in großem Umfang durchzuführen, da er über eigene Tools verfügt und in der Lage ist, Tools und Dienstleistungen von anderen Akteuren zu erwerben.
Auffälligkeiten
Die Rückkehr von TA866 zeichnet sich durch folgende Merkmale aus:
- TA866-E-Mail-Kampagnen sind erstmals seit über neun Monaten wieder aufgetaucht.
- Diese Kampagne findet zu einem Zeitpunkt statt, an dem auch andere Akteure aus der traditionellen Urlaubspause zum Jahresende zurückkehren und somit die Aktivität in der Bedrohungslandschaft insgesamt zunimmt.
- Bei dieser Kampagne versuchten die Kriminellen, WasabiSeed-Downloader und Screenshotter-Payloads zu installieren. Es ist derzeit nicht klar, welche Folge-Payload die Akteure installierten, wenn sie mit den vom Screenshotter erstellten Screenshots zufrieden waren. In früheren Kampagnen haben die Kriminellen AHK Bot und Rhadamanthys Stealer eingesetzt.
- Bemerkenswert ist auch die Weiterentwicklung der Angriffskette, wie die Verwendung neuer PDF-Anhänge.
www.proofpoint.com/de