Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email
-
- Tweet
- Pin It
- Condividi per email
-
I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di email indirizzate al mercato del Nord America. I messaggi a tema fatture contenevano PDF allegati con nomi come “Documento_[10 cifre].pdf” e soggetti diversi tra cui “Risultati di progetti”. I PDF contenevano URL di OneDrive che, se cliccati, avviavano una catena di infezione in più fasi che portava al payload del malware, una variante del set di strumenti personalizzati WasabiSeed e Screenshotter.
“L’attore delle minacce TA866 si distingue per l’uso di malware personalizzato e di servizi di distribuzione di malware di base, oltre a essere associato ad attività di ecrime e di Advanced Persistent Threat (APT)”, ha confermato Selena Larson, Proofpoint Senior Threat Intelligence Analyst. “Proofpoint non vedeva TA866 nei dati sulle minacce via email da circa nove mesi e la sua ricomparsa con una campagna ad alto volume è sicuramente degna di nota. La sua recente attività si allinea con quella di altri attori della criminalità informatica che rientrano dal tipico break che si verifica a fine anno, a conferma di un aumento complessivo delle minacce in queste prime settimane del 2024”.
Sono due gli attori delle minacce coinvolti nella campagna osservata: il servizio di distribuzione utilizzato per consegnare il PDF dannoso appartiene a un attore di minacce noto come TA571, che invia campagne email di spam ad alto volume per consegnare e installare una varietà di malware per conto dei suoi clienti cybercriminali.
Gli strumenti post-exploitation, in particolare i componenti JavaScript, MSI con WasabiSeed e MSI con Screenshotter, sono invece di TA866, un attore di minacce già documentato da Proofpoint e noto per le sue attività di crimeware e cyberspionaggio. Questa specifica campagna sembra avere motivazioni finanziarie.
Proofpoint ritiene che TA866, grazie alla disponibilità di strumenti personalizzati e alla sua capacità di acquistare e utilizzare strumenti e servizi da altri player, sia un attore organizzato in grado di eseguire attacchi ben congegnati anche su ampia scala.
Queste le caratteristiche degne di nota del ritorno di TA866:
Le campagne email di TA866 erano scomparse da oltre nove mesi (sebbene vi siano indicazioni che l’attore abbia nel frattempo utilizzato altri metodi di distribuzione).
Questa campagna arriva in un momento in cui Proofpoint osserva anche il ritorno di altri attori dopo le tradizionali vacanze di fine anno e quindi un aumento complessivo dell’attività malevola.
Questa campagna ha tentato di distribuire i payload WasabiSeed downloader e Screenshotter. Al momento non si sa quale payload successivo l’attore avrebbe installato se soddisfatto delle schermate scattate dallo Screenshotter. Nelle campagne precedenti aveva consegnato AHK Bot e Rhadamanthys Stealer.
Da notare anche l’evoluzione della catena di attacco, come l’uso di nuovi allegati PDF.
Contenuti correlati
-
Oltre la security awareness, verso un cambiamento comportamentale di lungo termineLuca Maiocchi, Country Manager, Proofpoint Negli ultimi anni si è discusso molto tra operatori, analisti e vendor sul tema della sensibilizzazione alla sicurezza, sui fattori che permettono di costruire un buon programma, sui metodi di misurazione e...
-
Artificial Intelligence: scudo e spada nella cybersecurity modernaDaniel Rapp, Group Vice President, AI/ML, Proofpoint, riassume le opportunità e le sfide che la rapida diffusione dell’AI sta portando alle aziende in tema di sicurezza cyber. L’intelligenza artificiale è sulla bocca di tutti, e il mondo...
-
Gli attacchi alla supply chain mettono il business a rischioDi Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint I criminali informatici sono sempre più audaci e sofisticati nei loro metodi e si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e...
-
Proofpoint: aumenta la preoccupazione dei CISO italiani nel 2024Chief Information Security Officer (CISO) più preoccupati: questo è uno dei trend che emerge dall’edizione 2024 del report annuale Voice of the CISO di Proofpoint. Il report analizza sfide, aspettative e priorità principali riportate dai CISO a...
-
Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...
-
Proofpoint: il ritorno del malware Qbot
Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...
-
Nuovo CEO a ProofpointProofpoint ha nominato Sumit Dhawan Chief Executive Officer, con effetto immediato. Rémi Thomas, chief financial officer di Proofpoint, che ha svolto il ruolo di CEO ad interim dal 25 ottobre, continuerà a ricoprire il ruolo di CFO...
-
Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurityGoogle e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...
-
Quando la minaccia arriva dall’interno. I trend attuali in tema di insider riskDi Luca Maiocchi, Country Manager, Proofpoint Italia “Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito. Oggi sembra che un numero maggiore di aziende stia...
-
Falsi aggiornamenti del browser per distribuire malwareProofpoint sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...
Scopri le novità scelte per te
-
Oltre la security awareness, verso un cambiamento comportamentale di lungo termine
Luca Maiocchi, Country Manager, Proofpoint Negli ultimi anni si è discusso molto tra operatori, analisti e vendor...
-
Artificial Intelligence: scudo e spada nella cybersecurity moderna
Daniel Rapp, Group Vice President, AI/ML, Proofpoint, riassume le opportunità e le sfide che la rapida diffusione...
News/Analysis Tutti ▶
-
congatec compie 20 annicongatec ha recentemente celebrato il suo ventesimo anniversario. Coerentemente con la propria visione, l’azienda...
-
Partnership tra Advantech e ADATA per gli AMRAdvantech ha annunciato una partnership con ADATA per lo sviluppo di un robot mobile...
-
La connettività in ambienti difficili analizzata in un eBook di Mouser e CinchMouser Electronics, in collaborazione con Cinch Connectivity Solutions, ha pubblicato un nuovo eBook intitolato...
Products Tutti ▶
-
Panasonic Industry annuncia un nuova serie di relèPanasonic Industry ha recentemente presentato un nuovo relè PhotoMOS progettato per apparecchiature di misurazione,...
-
Panasonic migliora la produzione di PCBPanasonic Connect Europe ha realizzato il nuovo modular mounter NPM-GW, un modulo di montaggio...
-
Innodisk: la memoria per potenziare l’IAInnodisk ha annunciato la sua serie di DRAM DDR5 6400, appositamente realizzata per applicazioni...
