TA886 olarak izlenen yeni bir tehdit oyuncusu, enfekte olmuş sistemlerde gözetim ve veri hırsızlığı yapmak için yeni özel kötü amaçlı yazılımlarla ABD ve Almanya'daki kuruluşları hedefliyor.
Daha önce bilinmeyen faaliyet kümesi ilk olarak Ekim 2022'de Proofpoint tarafından keşfedildi ve güvenlik firması 2023'e kadar devam ettiğini bildirdi.
Tehdit oyuncusu, hedefin daha fazla müdahale için yeterince değerli olup olmadığını belirlemek için ihlal edilen sistemlerin ön değerlendirmesini gerçekleştirerek finansal motivasyonlara sahip gibi görünmektedir.
Tehdit oyuncusu, kötü niyetli makrolar ile Microsoft Publisher (.pub) eklerini içeren kimlik avı e -postalarını, .pub dosyalarına makrolarla bağlantı kuran kimlik avı e -postalarını veya tehlikeli javascript dosyalarını indiren URL'ler içeren PDF'leri kullanarak kurbanları hedefliyor.
Proofpoint, TA886'da gönderilen e -postaların sayısının Aralık 2022'de katlanarak arttığını ve Ocak 2023'te hedefe bağlı olarak İngilizce veya Almanca yazılı e -postalarla birlikte yukarı doğru devam ettiğini söyledi.
Bu e-postaların alıcıları URL'leri tıklarsa, TA886'nın özel kötü amaçlı yazılım araçlarından biri olan "Screenshotter" nın indirilmesi ve yürütülmesine neden olan çok adımlı bir saldırı zinciri tetiklenir.
Bu araç, JPG ekran görüntülerini kurbanın makinesinden alır ve bunları inceleme için tehdit aktörünün sunucusuna geri gönderir.
Saldırganlar daha sonra bu ekran görüntülerini manuel olarak inceler ve kurbanın değerli olup olmadığına karar verirler. Bu değerlendirme, ekran görüntüsü kötü amaçlı yazılımların daha fazla ekran görüntüsüne sahip olmasını veya ek özel yükleri bırakmayı içerebilir:
Bellekte yüklenen stealer, geçen yazdan beri yeraltı forumlarında tanıtılan ve saldırılarda daha yaygın olarak kullanılan bir kötü amaçlı yazılım ailesi olan '' Rhadamanthys '' olarak adlandırılır.
Yetenekleri arasında kripto para birimi cüzdanları, kimlik bilgileri ve web tarayıcılarında depolanan çerezleri, FTP istemcileri, buhar hesapları, telgraf ve anlaşmazlık hesapları, VPN yapılandırmaları ve e -posta istemcileri bulunur.
Ayrıca, Rhadamanthys de ihlal edilen sistemden dosya çalabilir.
Proofpoint, TA886'nın saldırılara aktif olarak yer aldığını, çalınan verileri kontrol ettiğini ve UTC+2 veya UCT+3 zaman diliminde normal bir iş gününe benzeyen kötü amaçlı yazılımlarına komut gönderdiğini söylüyor.
AHK bot yükleyici kodunda Rus dili değişken isimlerinin ve yorumlarının varlığı ile birleştirildiğinde, ipuçları TA886'nın büyük olasılıkla Rus tehdit oyuncusu olduğunu gösteriyor.
Proofpoint, benzer TTP'leri (teknikler, taktikler ve prosedürler) tanımlayan geçmiş raporlarla örtüşmeler ve benzerlikler bulmaya çalıştı, ancak kesin bağlantı kuramadı.
Ancak, önceki casusluk kampanyalarında kullanılan AHK bot aracının belirtileri vardır.
TA886 saldırıları hala devam ediyor ve Proofpoint, Active Directory Profillemenin bir endişe nedeni olması gerektiği konusunda uyarıyor, çünkü bilgi çalan kötü amaçlı yazılımlarla ilgili tüm ev sahiplerini tehlikeye atabiliyor.
Bilgisayar korsanları, bilgi kullanan kötü amaçlı yazılımları zorlamak için sahte kripto iş tekliflerini kullanır
Kötü amaçlı PYPI paketlerinde W4SP Stealer kötü amaçlı yazılım tarafından hedeflenen geliştiriciler
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Ukrayna'da yeni Graphiron Informater Stealer kullanan Rus hackerlar
Yeni qaknote saldırıları Microsoft Onenote Dosyaları aracılığıyla QBOT kötü amaçlı yazılımları zorladı
Kaynak: Bleeping Computer