محققان امنیتی یک گروه تهدید مالی جدید را با استفاده از ابزارهای سفارشی برای شناسایی و تعقیب اهداف با ارزش برای سرقت اطلاعات کشف کردند.
این گروه که توسط Proofpoint TA866 نامگذاری شده است، ممکن است از سال 2019 فعال بوده باشد، اگرچه آخرین فعالیت در حدود اکتبر 2022 آغاز شده است.
این ادعا میکند که به نظر میرسد این گروه انگیزههای مالی دارد، اگرچه ممکن است با فعالیتهای دولت ملی همپوشانی داشته باشد.
این گزارش خاطرنشان کرد: «ارزیابی فعالیتهای مرتبط تاریخی حاکی از یک هدف احتمالی جاسوسی است».
Proofpoint کمپین جدید را که از ژانویه 2023 در جریان بود، به دلیل تاکتیکهایی که این گروه برای کاهش تعداد زیادی از قربانیان احتمالی به سودآورترین اهداف استفاده میکرد، «زمان نمایش» نامید.
در نوامبر 2022، TA866 به طور گسترده ای عملیات خود را برای ارسال هزاران یا ده ها هزار ایمیل فیشینگ دو تا چهار بار در هفته افزایش داد. پروف پوینت گفت تنها در دو روز در ژانویه بیش از 1000 سازمان آمریکایی و آلمانی مورد هدف قرار گرفتند.
این ایمیل توضیح داد: «به نظر میرسید که ایمیلها از ربودن رشته، یک فریب «ارائه من را بررسی کنید» و حاوی URLهای مخربی هستند که زنجیره حمله چند مرحلهای را آغاز میکنند.
اگر قربانیان طعمه را بگیرند، یک نصب کننده سفارشی به نام WasabiSeed دانلود می شود و دومین بدافزار سفارشی به نام Screenshotter را نصب می کند.
Proofpoint توضیح داد: “این یک ابزار با یک عملکرد واحد است که یک عکس JPG از دسکتاپ کاربر و ارسال آن به یک C2 راه دور از طریق یک POST به یک آدرس IP سخت کد شده است.” “این برای عامل تهدید در مرحله شناسایی و شناسایی قربانی مفید است.”
اگر بازیگر راضی باشد که قربانی یک فرصت پولسازی است، ابزارهای پس از بهرهبرداری بیشتر را دانلود میکند، از جمله اجزای AHK Bot که در دامنه Active Directory هدف شناسایی انجام میدهند.
Proofpoint گفت: “پروفایل AD به ویژه نگران کننده است زیرا فعالیت های بعدی می تواند منجر به سازش در همه میزبان های متصل به دامنه شود.”
سپس مهاجم Rhadamanthys Stealer را بارگذاری میکند – یک بدافزار آماده برای سرقت کیف پولهای رمزنگاری، حسابهای استیم، رمز عبور از مرورگرها، کلاینتهای FTP، کلاینتهای چت، کلاینتهای ایمیل، تنظیمات VPN، کوکیها و فایلها.
گفته می شود ساعات کاری این گروه با یک بازیگر تهدید روسی هماهنگ است.
