Как вредоносы WasabiSeed и Screenshotter становятся ключевыми инструментами для сбора разведданных.
Киберпреступная группа TA866, известная своими активностями в сфере , возобновила вредоносную деятельность после девятимесячного перерыва, ИБ-компания .
Недавно хакеры запустили масштабную кампанию, нацеленную на пользователей в Северной Америке. В рамках этой кампании распространяются тысячи фишинговых писем на тему счетов и финансов. Вложенные -файлы содержат ссылки на OneDrive, которые инициируют многоступенчатую цепочку заражения, в результате чего на устройство пользователя устанавливается вредоносное ПО.
Деятельность группы TA866 впервые была задокументирована в феврале 2023 года, когда хакеры распространяли вирусы WasabiSeed и Screenshotter, способные делать снимки экрана устройства жертвы и отправлять их на контролируемый злоумышленниками домен. Эти инструменты активно использовались для сбора разведданных и определения высокоценных мишеней для последующих атак.
Позже компания связь между кампаниями TA866 и другой группировкой, известной как Asylum Ambuscade, которая занимается кибершпионажем с 2020 года. Сама цепочка атаки практически не изменилась, за исключением замены вложений Publisher с поддержкой макросов на PDF-файлы с вредоносными ссылками OneDrive. При этом кампания полагается на спам-сервис, предоставляемый TA571 для распространения зловредных PDF-файлов.
Исследователи Proofpoint указывают на то, что TA571 — это дистрибьютор спама, который рассылает большое количество фишинговых писем с различными вирусами для своих клиентов-киберпреступников. Этим методом распространяются, например, такие известные угрозы, как , NetSupport RAT, и другие.
Аналитики из также , выявив использование вредоносных PDF-файлов в качестве носителей для установки DarkGate — программы-вымогателя, которая была впервые обнаружена в 2017 году и сейчас продаётся на подпольных форумах по модели .
Компания в также сообщила о фишинговых атаках, связанных с доставкой и производственным сектором, а Trellix выявила новую тактику обхода защиты, используемую злоумышленниками, которые внедряют вредоносный код в фишинговые сообщения после того, как они проходят проверку безопасности.
Таким образом, TA866 и связанные с ней группы представляют серьёзную угрозу в области кибербезопасности, используя сложные методы и уловки для достижения своих деструктивных целей.
Подробнее:
Киберпреступная группа TA866, известная своими активностями в сфере , возобновила вредоносную деятельность после девятимесячного перерыва, ИБ-компания .
Недавно хакеры запустили масштабную кампанию, нацеленную на пользователей в Северной Америке. В рамках этой кампании распространяются тысячи фишинговых писем на тему счетов и финансов. Вложенные -файлы содержат ссылки на OneDrive, которые инициируют многоступенчатую цепочку заражения, в результате чего на устройство пользователя устанавливается вредоносное ПО.
Деятельность группы TA866 впервые была задокументирована в феврале 2023 года, когда хакеры распространяли вирусы WasabiSeed и Screenshotter, способные делать снимки экрана устройства жертвы и отправлять их на контролируемый злоумышленниками домен. Эти инструменты активно использовались для сбора разведданных и определения высокоценных мишеней для последующих атак.
Позже компания связь между кампаниями TA866 и другой группировкой, известной как Asylum Ambuscade, которая занимается кибершпионажем с 2020 года. Сама цепочка атаки практически не изменилась, за исключением замены вложений Publisher с поддержкой макросов на PDF-файлы с вредоносными ссылками OneDrive. При этом кампания полагается на спам-сервис, предоставляемый TA571 для распространения зловредных PDF-файлов.
Исследователи Proofpoint указывают на то, что TA571 — это дистрибьютор спама, который рассылает большое количество фишинговых писем с различными вирусами для своих клиентов-киберпреступников. Этим методом распространяются, например, такие известные угрозы, как , NetSupport RAT, и другие.
Аналитики из также , выявив использование вредоносных PDF-файлов в качестве носителей для установки DarkGate — программы-вымогателя, которая была впервые обнаружена в 2017 году и сейчас продаётся на подпольных форумах по модели .
Компания в также сообщила о фишинговых атаках, связанных с доставкой и производственным сектором, а Trellix выявила новую тактику обхода защиты, используемую злоумышленниками, которые внедряют вредоносный код в фишинговые сообщения после того, как они проходят проверку безопасности.
Таким образом, TA866 и связанные с ней группы представляют серьёзную угрозу в области кибербезопасности, используя сложные методы и уловки для достижения своих деструктивных целей.
Подробнее:
