Một tác nhân đe dọa mới được theo dõi là TA886 nhắm mục tiêu vào các tổ chức ở Hoa Kỳ và Đức bằng phần mềm độc hại tùy chỉnh mới để thực hiện giám sát và đánh cắp dữ liệu trên các hệ thống bị nhiễm.
Cụm hoạt động chưa từng được biết đến trước đây được Proofpoint phát hiện lần đầu tiên vào tháng 10 năm 2022, với công ty bảo mật báo cáo rằng nó sẽ tiếp tục vào năm 2023.
Tác nhân đe dọa dường như có động cơ tài chính, thực hiện đánh giá sơ bộ các hệ thống bị vi phạm để xác định xem mục tiêu có đủ giá trị để xâm nhập thêm hay không.
Tác nhân đe dọa nhắm mục tiêu nạn nhân bằng cách sử dụng email lừa đảo bao gồm tệp đính kèm Microsoft Publisher (.pub) có macro độc hại, URL liên kết đến tệp .pub có macro hoặc tệp PDF chứa URL tải xuống tệp JavaScript nguy hiểm.
Proofpoint cho biết số lượng email được gửi bằng TA886 đã tăng theo cấp số nhân vào tháng 12 năm 2022 và tiếp tục tăng vào tháng 1 năm 2023, với các email được viết bằng tiếng Anh hoặc tiếng Đức, tùy thuộc vào mục tiêu.
Khối lượng phát tán email lừa đảo
Nếu người nhận những email này nhấp vào URL, chuỗi tấn công gồm nhiều bước sẽ được kích hoạt, dẫn đến việc tải xuống và thực thi "Screenshotter", một trong những công cụ phần mềm độc hại tùy chỉnh của TA886.
Công cụ này chụp ảnh chụp màn hình JPG từ máy của nạn nhân và gửi chúng trở lại máy chủ của tác nhân đe dọa để xem xét.
Thành phần chụp màn hình
Sau đó, những kẻ tấn công kiểm tra các ảnh chụp màn hình này theo cách thủ công và quyết định xem nạn nhân có giá trị hay không. Đánh giá này có thể bao gồm việc để phần mềm độc hại Screenshotter chụp thêm ảnh chụp màn hình hoặc loại bỏ các tải trọng tùy chỉnh bổ sung như:
Phần mềm đánh cắp được tải trong bộ nhớ có tên ''Rhadamanthys'', một dòng phần mềm độc hại được quảng cáo trên các diễn đàn ngầm từ mùa hè năm ngoái và ngày càng được sử dụng phổ biến hơn trong các cuộc tấn công.
Một phần mã của kẻ đánh cắp
Các khả năng của nó bao gồm đánh cắp ví tiền điện tử, thông tin đăng nhập và cookie được lưu trữ trong trình duyệt web, ứng dụng khách FTP, tài khoản Steam, tài khoản Telegram và Discord, cấu hình VPN và ứng dụng email.
Ngoài ra, Rhadamanthys cũng có khả năng đánh cắp các tệp từ hệ thống bị vi phạm.
Chuỗi tấn công TA886
Lập hồ sơ TA886
Proofpoint cho biết TA886 tích cực tham gia vào các cuộc tấn công, kiểm tra dữ liệu bị đánh cắp và gửi lệnh tới phần mềm độc hại của nó trong thời gian giống như một ngày làm việc thông thường ở múi giờ UTC+2 hoặc UCT+3.
Khi kết hợp với sự hiện diện của tên biến tiếng Nga và nhận xét trong mã của trình tải AHK Bot, manh mối chỉ ra rằng TA886 rất có khả năng là một tác nhân đe dọa người Nga.
Nhận xét của Nga trong mã của trình tải AHK Bot
Proofpoint đã cố gắng tìm ra những điểm trùng lặp và tương đồng với các báo cáo trước đây mô tả các TTP tương tự (kỹ thuật, chiến thuật và quy trình), nhưng nó không thể tạo ra bất kỳ mối liên hệ chắc chắn nào.
Tuy nhiên, có dấu hiệu cho thấy công cụ AHK Bot đã được sử dụng trong các chiến dịch gián điệp trước đây.
"Proofpoint đánh giá với độ tin cậy từ thấp đến trung bình rằng các chiến dịch này có khả năng được thực hiện bởi TA866 dựa trên sự tương đồng trong TTP nhưng không thể loại trừ hoàn toàn khả năng các công cụ này được sử dụng bởi nhiều bên. Quá trình điều tra phân bổ đang diễn ra." - Bằng chứng.
Các cuộc tấn công TA886 vẫn đang diễn ra và Proofpoint cảnh báo rằng cấu hình Active Directory nên là một nguyên nhân đáng lo ngại vì nó có thể xâm phạm tất cả các máy chủ đã tham gia miền bằng phần mềm độc hại đánh cắp thông tin.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.