L’11 gennaio 2024, l’azienda Proofpoint ha bloccato una campagna massiccia, composta da diverse migliaia di email indirizzate al mercato del Nord America. E’ dopo nove mesi di assenza che i ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email. I messaggi a tema fatture contenevano PDF allegati con nomi come “Documento[10 cifre].pdf” e soggetti diversi tra cui “Risultati di progetti”. I PDF contenevano URL di OneDrive che, se cliccati, avviavano una catena di infezione in più fasi che portava al payload del malware, una variante del set di strumenti personalizzati WasabiSeed e Screenshotter.
“L’attore delle minacce TA866 si distingue per l’uso di malware personalizzato e di servizi di distribuzione di malware di base, oltre a essere associato ad attività di ecrime e di Advanced Persistent Threat (APT)”, conferma Selena Larson, Proofpoint Senior Threat Intelligence Analyst. “Proofpoint non vedeva TA866 nei dati sulle minacce via email da circa nove mesi e la sua ricomparsa con una campagna ad alto volume è sicuramente degna di nota. La sua recente attività si allinea con quella di altri attori della criminalità informatica che rientrano dal tipico break che si verifica a fine anno, a conferma di un aumento complessivo delle minacce in queste prime settimane del 2024”.
Attribuzione degli attacchi
- Sono due gli attori delle minacce coinvolti nella campagna osservata: il servizio di distribuzione utilizzato per consegnare il PDF dannoso appartiene a un attore di minacce noto come TA571, che invia campagne email di spam ad alto volume per consegnare e installare una varietà di malware per conto dei suoi clienti cybercriminali.
- Gli strumenti post-exploitation, in particolare i componenti JavaScript, MSI con WasabiSeed e MSI con Screenshotter, sono invece di TA866, un attore di minacce già documentato da Proofpoint e noto per le sue attività di crimeware e cyberspionaggio. Questa specifica campagna sembra avere motivazioni finanziarie.
Proofpoint ritiene che TA866, grazie alla disponibilità di strumenti personalizzati e alla sua capacità di acquistare e utilizzare strumenti e servizi da altri player, sia un attore organizzato in grado di eseguire attacchi ben congegnati anche su ampia scala.
Perché è importante questo ritorno di TA866?
Queste le caratteristiche degne di nota del ritorno di TA866:
- Le campagne email di TA866 erano scomparse da oltre nove mesi (sebbene vi siano indicazioni che l’attore abbia nel frattempo utilizzato altri metodi di distribuzione).
- Questa campagna arriva in un momento in cui Proofpoint osserva anche il ritorno di altri attori dopo le tradizionali vacanze di fine anno e quindi un aumento complessivo dell’attività malevola.
- Questa campagna ha tentato di distribuire i payload WasabiSeed downloader e Screenshotter. Al momento non si sa quale payload successivo l’attore avrebbe installato se soddisfatto delle schermate scattate dallo Screenshotter. Nelle campagne precedenti aveva consegnato AHK Bot e Rhadamanthys Stealer.
- Da notare anche l’evoluzione della catena di attacco, come l’uso di nuovi allegati PDF.
