TA866 APT IOCs

security IOC

С октября 2022 года и до января 2023 года компания Proofpoint наблюдала кластер развивающейся финансово мотивированной активности, которую мы называем "Screentime". Цепочка атак начинается с электронного письма, содержащего вредоносное вложение или URL-адрес, и приводит к появлению вредоносного ПО, которое Proofpoint назвала WasabiSeed и Screenshotter. В некоторых случаях Proofpoint наблюдала активность после эксплойта с участием AHK Bot и Rhadamanthys Stealer.

TA866 APT

Proofpoint отслеживает эту активность под обозначением TA866. По оценке Proofpoint, TA866 - это организованный агент, способный осуществлять хорошо продуманные атаки в масштабе, основываясь на наличии у него пользовательских инструментов, возможности и связях для приобретения инструментов и услуг у других поставщиков, а также растущих объемах активности.

  • Активность, по-видимому, имеет финансовую подоплеку и направлена в основном на организации в США и Германии.
  • Используя свой набор инструментов, включающий WasabiSeed и Screenshotter, TA866 анализирует активность жертвы по скриншотам, а затем устанавливает бота и крадущую программу.

Начальные типы угроз через электронную почту: Компания Proofpoint наблюдала следующие примеры вредоносных кампаний по электронной почте. Инструменты, используемые угрожающим субъектом на этапе доставки (система распределения трафика (TDS), вложения и т.д.), не обязательно уникальны и могли быть приобретены у других субъектов:

  • Вложения Publisher (.pub) с макросами
  • URL-адреса, ведущие (через 404 TDS) к файлам Publisher с макросами
  • URL-адреса, ведущие (через 404 TDS) к файлам JavaScript
  • PDF-файлы с URL-адресами, ведущими (через 404 TDS) к файлам JavaScript.

В открытых источниках сообщается о различных полезных нагрузках после эксплойта, которые Proofpoint не подтвердила, например, полезная нагрузка на основе socket.io. Сторонние исследователи также заметили, что эта активность начинается не с почтового спама, а с рекламы Google Ads.

География: Компания Proofpoint наблюдала кампании, направленные в основном на организации в США. Исследователи Proofpoint также наблюдали спорадическое нацеливание на получателей в других странах, например, на немецких получателей с письмами на немецком языке 8 декабря 2022 года и 24 января 2023 года.

Отрасли, на которые направлены эти кампании: Эти кампании затрагивают все отрасли.

Объемы электронной почты и частота кампаний: Большинство кампаний в октябре и ноябре 2022 года включали лишь ограниченное количество электронных писем и были направлены на небольшое число компаний. Кампании наблюдались в среднем один-два раза в неделю, а сообщения содержали прикрепленные файлы Publisher. В ноябре и декабре 2022 года, примерно в то время, когда угрожающий субъект перешел на использование URL-адресов, масштаб операции увеличился, а объемы электронной почты резко возросли. Типичные кампании состояли из тысяч или даже десятков тысяч электронных писем и наблюдались от двух до четырех раз в неделю. В январе 2023 года частота кампаний снизилась, но объемы электронной почты возросли еще больше.

23-24 января 2023 года компания Proofpoint обнаружила десятки тысяч сообщений электронной почты, направленных на более чем тысячу организаций. Сообщения были направлены на организации в США и Германии. Письма использовали перехват потока, замануху "проверь мою презентацию" и содержали вредоносные URL-адреса, которые инициировали многоступенчатую цепочку атак.

Если пользователь нажимает на URL, он запускает цепочку атак следующим образом:

  • URL ведет на 404 TDS, который фильтрует трафик и перенаправляет на загрузку файла JavaScript.
  • JavaScript, если запущен пользователем (например, двойным щелчком), загружает и запускает пакет MSI.
  • Этот пакет MSI является программой установки WasabiSeed. Он выполняет встроенный VBS-скрипт (WasabiSeed), а также устанавливает постоянство, создавая ярлык автозапуска в папке запуска Windows.
  • Сценарий WasabiSeed
    • Загружает и запускает второй MSI-файл, содержащий Screenshotter
    • Продолжает циклически опрашивать тот же URL для получения дополнительных полезных нагрузок
  • Второй MSI-файл содержит компоненты Screenshotter, вредоносной программы, которая имеет несколько вариантов, реализованных на различных языках сценариев. Screenshotter имеет единственную цель - сделать скриншот экрана жертвы и отправить его на командно-контрольный (C2) сервер.
  • Взаимодействие акторов: актор угрозы, вероятно, вручную изучает изображение экрана жертвы в свое обычное рабочее время и размещает дополнительные полезные нагрузки для загрузки цикла WasabiSeed, такие как:
    • Скриншотер: делает больше скриншотов (если агент не удовлетворен предыдущими скриншотами).
    • AHK Bot: начальный компонент цикла (если агент удовлетворен и хочет продолжить атаку)
  • AHK Bot: основной компонент бота - еще один бесконечный цикл, который опрашивает и загружает дополнительные AHK-скрипты. Наблюдаемые скрипты включают:
    • Domain profiler: определяет домен Active Directory (AD) машины и отправляет его на C2.
    • Stealer loader: загружает исполняемый файл stealer и загружает его в память.
  • Rhadamanthys: конкретный крадущий модуль, загруженный скриптом AHK Bot's Stealer Loader, был Rhadamanthys.

URL-адреса в этой кампании вели на 404 TDS, систему распределения трафика, которую Proofpoint отслеживает по крайней мере с сентября 2022 года. Proofpoint не знает, продается ли эта услуга на подпольных форумах, но, скорее всего, это общий или продаваемый инструмент, поскольку он участвует в различных фишинговых и вредоносных кампаниях. Хотя использование TDS дает множество преимуществ, обычно угрожающие субъекты используют их для фильтрации только интересующего их трафика на основе географии, приложения браузера, версии браузера, платформы ОС и других факторов.

В этой кампании были замечены сотни случайных URL-адресов в формате https://[domain.tld]/[a-z0-9]{5}. Домены были зарегистрированы в день проведения кампании. Эти домены были зарегистрированы ранее, срок их действия истек, а затем они были повторно проданы оператору TDS. В кампании участвовало 20 доменов, таких как southfirstarea[.]com и black-socks[.]org, размещенных на IP-адресах 178.20.45[.]197 и 185.180.199[.]229.

Если параметры и условия фильтров TDS были удовлетворены, пользователи перенаправлялись на второй URL (enigma-soft[.]com/zm/) с дополнительной фильтрацией (не входящей в TDS). Если и этот фильтр был удовлетворен, пользователи перенаправлялись на третий URL (anyfisolusi[.]com/2/) для загрузки файла JavaScript типа "Document_24_jan-3559116.js".

TA866 - это недавно выявленный угрожающий агент, который распространяет вредоносное ПО по электронной почте, используя как стандартные, так и пользовательские инструменты. Хотя большая часть активности наблюдалась с октября 2022 года, исследователи Proofpoint выявили несколько кластеров активности с 2019 года, которые пересекаются с активностью TA866. Большая часть активности, наблюдаемой Proofpoint в последнее время, позволяет предположить, что недавние кампании имеют финансовую мотивацию, однако оценка исторической активности, связанной с ними, позволяет предположить возможную дополнительную цель шпионажа.

Использование Screenshotter для сбора информации о скомпрометированном хосте перед развертыванием дополнительных полезных нагрузок указывает на то, что угрожающий агент вручную просматривает заражения для выявления ценных целей. Профилирование AD вызывает особое беспокойство, поскольку последующие действия могут привести к компрометации всех узлов, подключенных к домену.

Важно отметить, что для того, чтобы компрометация была успешной, пользователь должен нажать на вредоносную ссылку и, в случае успешной фильтрации, взаимодействовать с файлом JavaScript для загрузки и запуска дополнительной полезной нагрузки. Организациям следует ознакомить конечных пользователей с этой техникой и поощрять их сообщать о подозрительных электронных письмах и других действиях.

Indicators of Compromise

Domains

  • annemarieotey.com
  • black-socks.org
  • bluecentury.org
  • duinvest.info
  • duncan-technologies.net
  • expresswebstores.com
  • fgpprlaw.com
  • footballmeta.com
  • gfcitservice.net
  • listfoo.org
  • mikefaw.com
  • moosdies.top
  • otameyshan.com
  • peak-pjv.com
  • repossessionheadquarters.org
  • samsontech.mobi
  • shiptrax24.com
  • southfirstarea.com
  • styleselect.com
  • thebtcrevolution.com
  • virtualmediaoffice.com

URLs

  • http://109.107.173.72/%serial%
  • http://109.107.173.72/screenshot/%serial%
  • http://79.137.198.60/1/ke.msi
  • http://89.208.105.255/%serial%
  • http://89.208.105.255/%serial%-du2
  • http://89.208.105.255/download?path=e

SHA256

  • 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40
  • 1f6de5072cc17065c284b21acf4d34b4506f86268395c807b8d4ab3d455b036b
  • 292344211976239c99d62be021af2f44840cd42dd4d70ad5097f4265b9d1ce01
  • 29e447a6121dd2b1d1221821bd6c4b0e20c437c62264844e8bcbb9d4be35f013
  • 322dccd18b5564ea000117e90dafc1b4bc30d256fe93b7cfd0d1bdf9870e0da6
  • 3242e0a736ef8ac90430a9f272ff30a81e2afc146fcb84a25c6e56e8192791e4
  • 3db3f919cad26ca155adf8c5d9cab3e358d51604b51b31b53d568e7bcf5301e2
  • 6e53a93fc2968d90891db6059bac49e975c09546e19a54f1f93fb01a21318fdc
  • d0a4cd67f952498ad99d78bc081c98afbef92e5508daf723007533f000174a98
  • d934d109f5b446febf6aa6a675e9bcc41fade563e7998788824f56b3cc16d1ed
SEC-1275-1
Добавить комментарий