– TA866 är unik för deras användning av anpassade tjänster för skadlig programvara och råvaror, samt är associerad med både digital brottslighet och annan typ av aktivitet. Proofpoint hade inte sett TA866 på cirka nio månader, därför är deras återkomst med en storskalig kampanj anmärkningsvärd, säger Selena Larson, Senior Threat Intelligence Analyst på Proofpoint.
I en ny rapport uppmärksammar cybersäkerhetsföretaget Proofpoint att den ökända hotaktören TA866 nu är tillbaka med en storskalig e-postkampanj. Gruppen har tidigare varit aktiv med en rad uppmärksammade cyberattacker.
– Deras senaste aktivitet stämmer också överens med andra cyberbrottsaktörer som återvänder från sina typiska uppehåll vid slutet av året. Det tyder på att den övergripande hotaktiviteten ökar när vi går in i 2024 fortsätter Selena Larsson
Denna gång använder sig TA866 av e-postmeddelanden som en primär vektor. Utskicken har ett tydligt tema mot fakturering, med ämnesrader relaterade till olika typer av projekt. Mejlen innehåller bifogade PDF-filer med filnamn som ”Document_[10 digits].pdf”.
PDF-filen innehåller i sin tur hänvisningar till olika OneDrive-sajter, som sätter igång en avancerad infektionskedja om mottagaren klickar sig vidare till dem. Tillvägagångssättet skiljer sig en del mot aktörens tidigare försök, där man främst använt sig av andra typer av bifogade filer samt 404 TDS-länkar – som gör att nätkriminella kan filtrera inkommande trafik och leverera skadlig kod direkt till mottagaren.
Än så länge verkar kampanjen främst rikta in sig på mottagare i Nordamerika. Men eftersom tidigare aktivitet från TA866 varit i global skala finns det ändå anledning till oro över dess potentiella omfattning. Organisationer över hela världen uppmanas därför att se över och förbättra sina cybersäkerhetsförsvar.
Hela rapporten finns att läsa här:
https://www.proofpoint.com/uk/blog/threat-insight/security-brief-ta866-returns-large-email-campaign
Foto: Gerd Altmann
