Ein Bedrohungsakteur mit dem Namen TA866 ist nach einer neunmonatigen Pause wieder aufgetaucht und startet eine neue Phishing-Kampagne, um bekannte Schadsoftware wie WasabiSeed und Screenshotter zu verbreiten. Die Kampagne wurde Anfang dieses Monats beobachtet und am 11. Januar 2024 von Proofpoint blockiert. Dabei wurden Tausende von E-Mails mit Rechnungsthemen versendet, die scheinbare PDF-Dateien enthielten. Wenn auf die OneDrive-URLs in den PDFs geklickt wurde, startete eine mehrstufige Infektionskette, die schließlich zur Schadsoftware-Payload führte. TA866 wurde erstmals im Februar 2023 von Proofpoint dokumentiert und mit einer Kampagne namens Screentime in Verbindung gebracht, die WasabiSeed verbreitete. WasabiSeed ist ein Visual Basic Script Dropper, der verwendet wird, um Screenshotter herunterzuladen. Screenshotter ist in der Lage, regelmäßig Screenshots des Desktops des Opfers zu machen und diese Daten an eine von einem Angreifer kontrollierte Domain zu übertragen. Es gibt Hinweise darauf, dass der Täter möglicherweise finanziell motiviert ist, da Screenshotter als Aufklärungswerkzeug dient, um hochwertige Ziele für Post-Exploitation zu identifizieren, und um einen auf AutoHotKey (AHK) basierenden Bot zu deployen, der letztendlich den Rhadamanthys Information Stealer ablegt.
Im Juni 2023 fand die slowakische Cybersicherheitsfirma ESET Überschneidungen zwischen Screentime und einer anderen Eindringlingsgruppe namens Asylum Ambuscade, einer Crimeware-Gruppe, die seit mindestens 2020 auch in Cyber-Spionage-Operationen verwickelt ist. Die neueste Angriffskette hat sich kaum verändert, außer dass sie von makrofähigen Publisher-Anhängen auf PDFs umgestiegen ist, die einen Rogue OneDrive-Link enthalten. Für die Verteilung der PDFs verlässt sich die Kampagne auf einen Spam-Service von TA571.
TA571 ist ein Spam-Verteiler, der hochvolumige Spam-E-Mail-Kampagnen verschickt, um verschiedene Malware-Varianten für ihre cyberkriminellen Kunden zu installieren. Dazu gehören AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (auch bekannt als Qbot) und DarkGate. DarkGate ermöglicht es Angreifern, verschiedene Befehle wie Informationsdiebstahl, Kryptowährungs-Mining und die Ausführung beliebiger Programme auszuführen. DarkGate wurde erstmals 2017 eingeführt und wird nur einer kleinen Anzahl von Angriffsgruppen in Form von „Malware-as-a-Service“ über Untergrundforen verkauft.
Die Wiederkehr von TA866 erfolgt, während Cofense enthüllt hat, dass Phishing-E-Mails im Zusammenhang mit dem Versand hauptsächlich den Fertigungssektor ins Visier nehmen, um Malware wie Agent Tesla und Formbook zu verbreiten.
Die Entwicklung erfolgt auch nach der Entdeckung einer neuartigen Ausweich-Taktik, die den Caching-Mechanismus von Sicherheitsprodukten nutzt, um sie durch die Einbindung einer Call To Action (CTA) URL, die auf eine vertrauenswürdige Website verweist, zu umgehen.
Trellix stellte fest, dass Angreifer diese Besonderheit ausnutzen, indem sie darauf warten, dass die Sicherheitsanbieter die CTA-URL verarbeiten und ihr Urteil zwischenspeichern, und dann den Link ändern, um auf die beabsichtigte Phishing-Seite umzuleiten. Mit dem Urteil, dass die E-Mail als harmlos eingestuft wurde, landet sie problemlos im Posteingang des Opfers. Wenn der Empfänger der E-Mail nun entscheidet, die E-Mail zu öffnen und auf den Link/ die Schaltfläche innerhalb der CTA-URL zu klicken, wird er zur bösartigen Seite weitergeleitet.