I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di email indirizzate al mercato del Nord America. I messaggi a tema fatture contenevano PDF allegati con nomi come “Documento_[10 cifre].pdf” e soggetti diversi tra cui “Risultati di progetti”. I PDF contenevano URL di OneDrive che, se cliccati, avviavano una catena di infezione in più fasi che portava al payload del malware, una variante del set di strumenti personalizzati WasabiSeed e Screenshotter.
“L’attore delle minacce TA866 si distingue per l’uso di malware personalizzato e di servizi di distribuzione di malware di base, oltre a essere associato ad attività di ecrime e di Advanced Persistent Threat (APT)”, ha confermato Selena Larson, Proofpoint Senior Threat Intelligence Analyst. “Proofpoint non vedeva TA866 nei dati sulle minacce via email da circa nove mesi e la sua ricomparsa con una campagna ad alto volume è sicuramente degna di nota. La sua recente attività si allinea con quella di altri attori della criminalità informatica che rientrano dal tipico break che si verifica a fine anno, a conferma di un aumento complessivo delle minacce in queste prime settimane del 2024”.
Sono due gli attori delle minacce coinvolti nella campagna osservata: il servizio di distribuzione utilizzato per consegnare il PDF dannoso appartiene a un attore di minacce noto come TA571, che invia campagne email di spam ad alto volume per consegnare e installare una varietà di malware per conto dei suoi clienti cybercriminali.
Gli strumenti post-exploitation, in particolare i componenti JavaScript, MSI con WasabiSeed e MSI con Screenshotter, sono invece di TA866, un attore di minacce già documentato da Proofpoint e noto per le sue attività di crimeware e cyberspionaggio. Questa specifica campagna sembra avere motivazioni finanziarie.
Proofpoint ritiene che TA866, grazie alla disponibilità di strumenti personalizzati e alla sua capacità di acquistare e utilizzare strumenti e servizi da altri player, sia un attore organizzato in grado di eseguire attacchi ben congegnati anche su ampia scala.
Queste le caratteristiche degne di nota del ritorno di TA866:
Le campagne email di TA866 erano scomparse da oltre nove mesi (sebbene vi siano indicazioni che l’attore abbia nel frattempo utilizzato altri metodi di distribuzione).
Questa campagna arriva in un momento in cui Proofpoint osserva anche il ritorno di altri attori dopo le tradizionali vacanze di fine anno e quindi un aumento complessivo dell’attività malevola.
Questa campagna ha tentato di distribuire i payload WasabiSeed downloader e Screenshotter. Al momento non si sa quale payload successivo l’attore avrebbe installato se soddisfatto delle schermate scattate dallo Screenshotter. Nelle campagne precedenti aveva consegnato AHK Bot e Rhadamanthys Stealer.
Da notare anche l’evoluzione della catena di attacco, come l’uso di nuovi allegati PDF.