Šta se desilo
Proofpoint istraživači su identifikovali povratak TA866 u kampanje prijetnji putem e-pošte, nakon devet mjeseci odsustva. Proofpoint je 11. januara 2024. blokirao veliku kampanju koja se sastojala od nekoliko hiljada e-mailova usmjerenih na Sjevernu Ameriku. E-poruke s temom faktura imale su priložene PDF-ove s nazivima kao što su “Dokument_[10 cifara].pdf” i raznim temama kao što su “Dostignuća projekta”. PDF-ovi su sadržavali OneDrive URL-ove koji su, ako se kliknu, pokretali lanac infekcije u više koraka koji je na kraju doveo do malver payload-a, varijante prilagođenog skupa alata WasabiSeed i Screenshotter.
Snimak ekrana e-pošte s priloženim PDF-om.
Ako je korisnik kliknuo na OneDrive URL unutar PDF-a, bili su:
- Posluženi JavaScript datotekom koja se nalazi na OneDrive-u.
- JavaScript, ako ga pokreće korisnik, preuzima i pokreće MSI datoteku.
- MSI datoteka je izvršila ugrađenu WasabiSeed VBS skriptu.
- WasabiSeed VBS skripta je zatim preuzela i izvršila drugu MSI datoteku, a takođe i nastavila sa ispitivanjem dodatnih payload-a u petlji. Dodatni payload-i trenutno nisu poznati.
- Konačno, drugi MSI fajl je sadržavao komponente uslužnog programa Screenshotter za snimke ekrana koji je napravio snimak ekrana radne površine i poslao mu C2.
Sažetak lanca napada: Email > PDF > OneDrive URL > JavaScript > MSI / VBS (WasabiSeed) > MSI (Screenshotter).
Lanac napada bio je sličan poslednjoj dokumentovanoj kampanji e-pošte koja je koristila ovaj prilagođeni skup alata koji je primijetio Proofpoint 20. marta 2023. Sličnosti su pomogle pri atribuciji. Konkretno, TA571 spam usluga je korišćena na sličan način, WasabiSeed downloader je ostao skoro isti, a skripte i komponente Screenshotter-a su ostale gotovo iste. (Napomena analitičara: Iako Proofpoint nije prvobitno povezao TTP-ove isporuke sa TA571 u našoj prvoj publikaciji o TA866, naknadna analiza je pripisala isporuku malspam kampanja iz 2023. TA571, a naknadnu aktivnost nakon eksploatacije TA866.)
Jedna od najvećih promjena u ovoj kampanji u odnosu na posljednju uočenu aktivnost bila je upotreba PDF priloga koji sadrži OneDrive link, što je bilo potpuno novo. Prethodne kampanje su obično koristile Publisher priloge s omogućenim makroima ili 404 TDS URL-ove direktno u tijelu e-pošte.
Snimak ekrana WasabiSeed skripte “TermServ.vbs” čija je svrha da izvrši beskonačnu petlju, dopre do C2 servera i pokuša da preuzme i pokrene MSI fajl (prazni redovi su uklonjeni iz ove skripte radi čitljivosti).
Snimak ekrana “app.js”, jedne od komponenti Screenshotter-a. Ova datoteka pokreće “snap.exe”, kopiju legitimne izvršne datoteke IrfanView, (također uključena u MSI) da bi sačuvala snimak ekrana radne površine kao “gs.jpg”.
Snimak ekrana “index.js”, još jedne komponente Screenshotter-a. Ovaj kod je odgovoran za otpremanje snimka ekrana desktopa ”gs.jpg” na C2 server.
Pripisivanje
Dva su hakera uključena u posmatranu kampanju. Proofpoint prati uslugu distribucije koja se koristi za isporuku zlonamjernog PDF-a kao da pripada hakeru poznatom kao TA571. TA571 je distributer neželjene pošte, a ovaj haker šalje velike količine neželjenih e-mail kampanja kako bi isporučio i instalirao razni malver za svoje sajberkriminalne klijente.
Proofpoint prati alate nakon eksploatacije, posebno JavaScript, MSI sa komponentama WasabiSeed, i MSI sa komponentama Screenshotter koji pripadaju TA866. TA866 je haker koga su prethodno dokumentovali Proofpoint i kolege. Poznato je da se TA866 bavi i kriminalnim softverom i aktivnostima sajber špijunaže. Čini se da je ova posebna kampanja finansijski motivisana.
Proofpoint procjenjuje da je TA866 organizovani haker sposoban da izvede dobro osmišljene napade u velikom obimu na osnovu njihove dostupnosti prilagođenih alata, te sposobnosti i veza za kupovinu alata i usluga od drugih hakera.
Zašto je važno
Sljedeće su značajne karakteristike povratka TA866 u podatke o prijetnjama putem e-pošte:
- TA866 email kampanje su nestale u okruženju više od devet mjeseci (iako postoje indicije da je haker u međuvremenu koristio druge metode distribucije)
- Ova kampanja dolazi u vrijeme kada Proofpoint također posmatra druge hakere kako se vraćaju s tradicionalnih raspusta na kraju godine, a time se povećava ukupna aktivnost krajolika prijetnji
- Ova kampanja je pokušala isporučiti WasabiSeed downloader i Screenshotter payload. Trenutno je nepoznato koji bi naknadni payload haker instalirao da je zadovoljan snimcima ekrana koje je napravio Screenshotter. U prethodnim kampanjama haker je koristio AHK Bot i Rhadamanthys Stealer
- Evolucija u lancu napada kao što je korištenje novih PDF priloga je također primjetna.
Izvor: proofpoint