Μια ολοκαίνουργια ομάδα εγκληματιών του κυβερνοχώρου που αναγνωρίζεται ως TA886 έχει πρόσφατα στοχοποιήσει επιχειρήσεις στις Ηνωμένες Πολιτείες και τη Γερμανία με το δικό της προσαρμοσμένο κακόβουλο λογισμικό (Screenshotter) που έχει σχεδιαστεί για να παρακολουθεί τους στόχους και να κλέβει ευαίσθητες πληροφορίες από συστήματα που έχουν παραβιαστεί.
Δείτε επίσης: Reddit: Hackers έκλεψαν source code και εσωτερικά δεδομένα
Το προηγουμένως άγνωστο cluster δραστηριοτήτων ανακαλύφθηκε για πρώτη φορά από την Proofpoint τον Οκτώβριο του 2022, με την εταιρεία ασφαλείας να αναφέρει η δραστηριότητα συνεχίστηκε μέχρι το 2023.
Ο κακόβουλος δράστης φαίνεται να έχει οικονομικά κίνητρα, καθώς αρχικά εξετάζει τα παραβιασμένα συστήματα ως προς τις χρηματικές δυνατότητες προτού αποφασίσει να κάνει μια ολοκληρωμένη επίθεση.
Παρακολούθηση θυμάτων πριν από την κλοπή δεδομένων
Οι εγκληματίες του κυβερνοχώρου επιδιώκουν να εκμεταλλευτούν ανυποψίαστα θύματα διανέμοντας phishing email που συνοδεύονται από κακόβουλα συνημμένα αρχεία Microsoft Publisher, URL που παραπέμπουν σε αρχεία .pub ενσωματωμένα με μακροεντολές ή PDF που περιέχουν links που οδηγούν τους χρήστες στη λήψη επικίνδυνων αρχείων JavaScript.
Δείτε επίσης: Πλαστές αγγελίες εργασίας προωθούν το info-stealing malware Enigma
Τον Δεκέμβριο του 2022 και στις αρχές Ιανουαρίου του 2023, η Proofpoint ανακάλυψε μια αξιοσημείωτη αύξηση στα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονταν από την TA886 – η γλώσσα των οποίων διέφερε ανάλογα με τον παραλήπτη. Συγκεκριμένα, στο πλαίσιο αυτής της εκστρατείας χρησιμοποιούνταν συχνά αγγλικά και γερμανικά μηνύματα.
Εάν οι παραλήπτες αυτών των μηνυμάτων ηλεκτρονικού ταχυδρομείου κάνουν κλικ στις διευθύνσεις URL, ενεργοποιείται μια αλυσίδα επίθεσης πολλών βημάτων, με αποτέλεσμα τη λήψη και την εκτέλεση του “Screenshotter”, ενός από τα προσαρμοσμένα εργαλεία κακόβουλου λογισμικού της TA886.
Δείτε επίσης: Indigo: Εκτός λειτουργίας το site λόγω κυβερνοεπίθεσης
Αυτό το εργαλείο εξάγει JPG screenshots από τον υπολογιστή του στόχου και στη συνέχεια τα μεταδίδει πίσω στον server του επιτιθέμενου για ανάλυση.
Στη συνέχεια, οι εισβολείς εξετάζουν χειροκίνητα αυτά τα screenshots και αποφασίζουν εάν το θύμα έχει αξία. Αυτή η αξιολόγηση μπορεί να περιλαμβάνει τη λήψη περισσότερων screenshot από το κακόβουλο λογισμικό Screenshotter ή το drop πρόσθετων προσαρμοσμένων payload όπως:
- Ένα domain profiler script που στέλνει στοιχεία AD (Active Directory) domain στο C2
- Ένα malware loader script (AHK Bot loader) που φορτώνει ένα info-stealer στη μνήμη
Το stealer που φορτώνεται στη μνήμη ονομάζεται “Rhadamanthys”, μια οικογένεια κακόβουλου λογισμικού που προβάλλεται σε dark φόρουμ από το περασμένο καλοκαίρι και χρησιμοποιείται πιο συχνά σε επιθέσεις.
Οι δυνατότητές του περιλαμβάνουν την κλοπή πορτοφολιών κρυπτονομισμάτων, credentials και cookies που είναι αποθηκευμένα σε web browsers, FTP clients, λογαριασμούς Steam, λογαριασμούς Telegram και Discord, διαμορφώσεις VPN και email clients.
Επιπλέον, το Rhadamanthys μπορεί εύκολα να αποκτήσει αρχεία από το παραβιασμένο σύστημα.
Διερεύνηση του προφίλ της ομάδας TA886
Η Proofpoint λέει ότι η ομάδα TA886 συμμετέχει ενεργά στις επιθέσεις, ελέγχοντας τα κλεμμένα δεδομένα και στέλνοντας εντολές στο κακόβουλο λογισμικό του σε περιόδους που μοιάζουν με μια κανονική εργάσιμη ημέρα στη ζώνη ώρας UTC+2 ή UCT+3.
Κατά την ανάλυση των ενδείξεων, ιδιαίτερα της παρουσίας ονομάτων μεταβλητών και σχολίων στη ρωσική γλώσσα στον κώδικα του φορτωτή του AHK Bot, είναι πολύ πιθανό ότι το TA886 είναι ένας κακόβουλος ρωσικός απειλητικός φορέας.
Αν και η Proofpoint προσπάθησε να ανακαλύψει τυχόν συσχετισμούς μεταξύ υφιστάμενων αναφορών για παρόμοιες τεχνικές, τακτικές και διαδικασίες (TTP), δεν εντοπίστηκαν συσχετισμοί.
Υπάρχουν υποψίες ότι το εργαλείο AHK Bot έχει συμμετάσχει σε προηγούμενες επιχειρήσεις κατασκοπείας.
Οι επιθέσεις TA886 εξακολουθούν να βρίσκονται σε εξέλιξη και η Proofpoint προειδοποιεί ότι το προφίλ Active Directory θα πρέπει να προκαλεί ανησυχία, καθώς θα μπορούσε να θέσει σε κίνδυνο όλους τους hosts που είναι συνδεδεμένοι σε domain με κακόβουλο λογισμικό που κλέβει πληροφορίες.
Πηγή πληροφοριών: bleepingcomputer.com
.){kind=link}