Proofpoint のセキュリティ専門家は、866 年 2022 月から 2023 年 XNUMX 月の間に数万の企業をマルウェアで攻撃した TAXNUMX と呼ばれる新しいハッカー グループを発見しました。 この活動は、特にドイツと米国の組織を対象としています。
TA866 攻撃の XNUMX つの詳細が際立っています。サイバー犯罪者はまず、潜在的な被害者の IT 環境のスクリーンショットを分析して、特に有利な標的を特定します。 さらに関与する価値があると判断した場合にのみ、犠牲者をボットまたはスティーラーに感染させようとします。
🔎 攻撃チェーンには、関連するすべてのスクリプト、ツール、およびマルウェアが表示されます (画像: Proofpoint)。
スクリーンタイムで攻撃開始
2022 年 2023 月から XNUMX 年 XNUMX 月にかけて、Proofpoint は、専門家が「スクリーンタイム」と呼ぶ金銭目的の活動のクラスターを観察しました。 一連の攻撃は、悪意のある添付ファイルまたは URL を含む電子メールから始まります。 どちらも「WasabiSeed」および「Screenshotter」として知られるマルウェアにつながります。 場合によっては、Proofpoint は、一次感染後に AHK Bot と Rhadamanthys Stealer を含む活動を観察しました。
2022 年 2022 月と 2023 月のほとんどのキャンペーンは、限られた数のメールで構成され、少数の企業に焦点を当てていました。 キャンペーンは平均して週に XNUMX ~ XNUMX 回観察され、メッセージには添付された発行者ファイルが含まれていました。 XNUMX 年 XNUMX 月から XNUMX 月にかけて、グループが URL の使用に移行した頃に、運用の規模が拡大し、メールの量が劇的に増加しました。 典型的なキャンペーンは、数千または数万の電子メールで構成され、週に XNUMX ~ XNUMX 回観察されました。 XNUMX 年 XNUMX 月、キャンペーンの頻度は減少しましたが、メールの量はさらに増加しました。
感染の連鎖
23 年 24 月 2023 日と XNUMX 日に、Proofpoint は XNUMX 社を超える企業を標的とする数万件の電子メール メッセージを観測しました。 メッセージは、米国とドイツの組織を標的にしていました。 送信された電子メールは、スレッド ハイジャックに依存しているようで、「プレゼンテーションを確認してください」などの件名でおびき寄せていました。 これらのメッセージには、多段階の攻撃チェーンを開始する悪意のある URL が含まれていました。 ユーザーが URL をクリックすると、一連の攻撃が開始されます。 Proofpoint のブログ投稿では、さまざまなスクリーンショットを使用して、個々のすべての手順を調べて文書化しています。
さらに詳しくは、proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。