Proofpoint güvenlik uzmanları, Ekim 866 ile Ocak 2022 arasında on binlerce şirkete kötü amaçlı yazılımla saldıran TA2023 adlı yeni bir hacker grubunu ortaya çıkardı. Faaliyetler özellikle Almanya ve ABD'deki kuruluşlara yöneliktir.
TA866 saldırılarının bir detayı öne çıkıyor: Siber suçlular, özellikle kazançlı hedefleri belirlemek için önce potansiyel kurbanlarının BT ortamlarının ekran görüntülerini analiz ediyor. Kurbana bir bot veya hırsız bulaştırmaya, ancak daha fazla dahil olmaya değer olduğunu düşünürlerse çalışırlar.
🔎 Saldırı zinciri, dahil olan tüm komut dosyalarını, araçları ve kötü amaçlı yazılımları gösterir (Resim: Proofpoint).
Screentime ile saldırı başlatma
Ekim 2022'den Ocak 2023'e kadar Proofpoint, uzmanların "ekran süresi" olarak adlandırdığı, finansal olarak motive edilmiş bir dizi faaliyet gözlemledi. Saldırı zinciri, kötü amaçlı bir ek veya URL içeren bir e-posta ile başlar. Her ikisi de "WasabiSeed" ve "Screenshotter" olarak bilinen kötü amaçlı yazılımlara yol açar. Bazı durumlarda Proofpoint, birincil enfeksiyonun ardından AHK Bot ve Rhadamanthys Stealer'ı içeren faaliyetleri gözlemledi.
Ekim ve Kasım 2022'deki çoğu kampanya, sınırlı sayıda e-postadan oluşuyordu ve az sayıda şirkete odaklanıyordu. Kampanyalar ortalama olarak haftada bir veya iki kez gözlemlendi ve mesajlar ekli yayıncı dosyalarını içeriyordu. Kasım ve Aralık 2022'de, grubun URL'leri kullanmaya geçiş yaptığı sıralarda, operasyonların ölçeği arttı ve e-posta hacmi önemli ölçüde arttı. Tipik kampanyalar binlerce hatta onbinlerce e-postadan oluşuyordu ve haftada iki ila dört kez gözlemlenebiliyordu. Ocak 2023'te kampanya sıklığı azaldı, ancak e-posta hacmi daha da arttı.
enfeksiyon zinciri
23 ve 24 Ocak 2023'te Proofpoint, binden fazla şirketi hedefleyen on binlerce e-posta mesajı gözlemledi. Mesajlar ABD ve Almanya'daki kuruluşları hedef aldı. Gönderilen e-postalar, iş parçacığı ele geçirmeye dayanıyor gibiydi ve "Sunumumu kontrol et" gibi konu satırlarıyla cezbedildi. Bu mesajlar, çok aşamalı bir saldırı zinciri başlatan kötü amaçlı URL'ler içeriyordu. Bir kullanıcı URL'yi tıkladığında, saldırı zincirini harekete geçirir. Proofpoint'teki bir blog gönderisinde, tüm bireysel adımlar incelenir ve çeşitli ekran görüntüleri kullanılarak belgelenir.
Daha fazlası proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.