Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email

Pubblicato il 22 gennaio 2024
proofpoint

I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di email indirizzate al mercato del Nord America. I messaggi a tema fatture contenevano PDF allegati con nomi come “Documento_[10 cifre].pdf” e soggetti diversi tra cui “Risultati di progetti”. I PDF contenevano URL di OneDrive che, se cliccati, avviavano una catena di infezione in più fasi che portava al payload del malware, una variante del set di strumenti personalizzati WasabiSeed e Screenshotter.

“L’attore delle minacce TA866 si distingue per l’uso di malware personalizzato e di servizi di distribuzione di malware di base, oltre a essere associato ad attività di ecrime e di Advanced Persistent Threat (APT)”, ha confermato Selena Larson, Proofpoint Senior Threat Intelligence Analyst. “Proofpoint non vedeva TA866 nei dati sulle minacce via email da circa nove mesi e la sua ricomparsa con una campagna ad alto volume è sicuramente degna di nota. La sua recente attività si allinea con quella di altri attori della criminalità informatica che rientrano dal tipico break che si verifica a fine anno, a conferma di un aumento complessivo delle minacce in queste prime settimane del 2024”.

Sono due gli attori delle minacce coinvolti nella campagna osservata: il servizio di distribuzione utilizzato per consegnare il PDF dannoso appartiene a un attore di minacce noto come TA571, che invia campagne email di spam ad alto volume per consegnare e installare una varietà di malware per conto dei suoi clienti cybercriminali.

Gli strumenti post-exploitation, in particolare i componenti JavaScript, MSI con WasabiSeed e MSI con Screenshotter, sono invece di TA866, un attore di minacce già documentato da Proofpoint e noto per le sue attività di crimeware e cyberspionaggio. Questa specifica campagna sembra avere motivazioni finanziarie.

Proofpoint ritiene che TA866, grazie alla disponibilità di strumenti personalizzati e alla sua capacità di acquistare e utilizzare strumenti e servizi da altri player, sia un attore organizzato in grado di eseguire attacchi ben congegnati anche su ampia scala.

Queste le caratteristiche degne di nota del ritorno di TA866:

Le campagne email di TA866 erano scomparse da oltre nove mesi (sebbene vi siano indicazioni che l’attore abbia nel frattempo utilizzato altri metodi di distribuzione).

Questa campagna arriva in un momento in cui Proofpoint osserva anche il ritorno di altri attori dopo le tradizionali vacanze di fine anno e quindi un aumento complessivo dell’attività malevola.

Questa campagna ha tentato di distribuire i payload WasabiSeed downloader e Screenshotter. Al momento non si sa quale payload successivo l’attore avrebbe installato se soddisfatto delle schermate scattate dallo Screenshotter. Nelle campagne precedenti aveva consegnato AHK Bot e Rhadamanthys Stealer.

Da notare anche l’evoluzione della catena di attacco, come l’uso di nuovi allegati PDF.



Contenuti correlati

  • Proofpoint
    Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024

    Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...

  • Proofpoint
    Proofpoint: il ritorno del malware Qbot

    Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...

  • Proofpoint
    Nuovo CEO a Proofpoint

    Proofpoint ha nominato Sumit Dhawan Chief Executive Officer, con effetto immediato. Rémi Thomas, chief financial officer di Proofpoint, che ha svolto il ruolo di CEO ad interim dal 25 ottobre, continuerà a ricoprire il ruolo di CFO...

  • Proofpoint
    Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurity

    Google e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...

  • ProofPoint
    Quando la minaccia arriva dall’interno. I trend attuali in tema di insider risk

    Di Luca Maiocchi, Country Manager, Proofpoint Italia “Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito. Oggi sembra che un numero maggiore di aziende stia...

  • Proofpoint
    Falsi aggiornamenti del browser per distribuire malware

    Proofpoint  sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...

  • Proofpoint
    Cybersecurity in sanità: aumenta il costo medio totale di un attacco IT

    Proofpoint e Ponemon Institute hanno pubblicato i risultati della loro seconda ricerca annuale sugli effetti della cybersecurity nel settore sanitario. Il report “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023” ha...

  • Proofpoint
    Proofpoint: nuova campagna di TA544

    I ricercatori di Proofpoint  segnalano una nuova campagna di TA544 rivolta agli utenti italiani, che distribuisce il malware Ursnif. Questo gruppo ha già distribuito il malware bancario in campagne ad alto volume per diversi anni. Proofpoint ha...

  • Proofpoint
    L’identità è la nuova superficie d’attacco. Come proteggersi?

    Emiliano Massa, Area Vice President, Sales Southern Europe, Proofpoint Il modo in cui interagiamo con le reti aziendali è cambiato per sempre e la sicurezza perimetrale tradizionale non è più all’altezza della situazione. Sempre più si parla...

  • Proofpoint
    Limitare il rischio informatico: interrompere immediatamente la catena di attacchi

    Luca Maiocchi, Country Manager, Proofpoint Continuiamo a usare il termine “people-centric” per descrivere il panorama delle minacce moderne e lo stile di difesa necessario per proteggersi da esse. In realtà, l’identità viene ora utilizzata dai cybercriminali per...

Scopri le novità scelte per te x