Cybersicherheitsforscher von Proofpoint haben eine brandneue, maßgeschneiderte Malware entdeckt, die von Bedrohungsakteuren verwendet wird, um eine Vielzahl von speziell zugeschnittenen Angriffen der zweiten Stufe auszuführen.
Diese Payloads sind zu verschiedenen Dingen fähig, von Spionage bis Datendiebstahl, was die Angriffe aufgrund ihrer Unberechenbarkeit noch gefährlicher macht.
Die Forscher, die die Kampagne Screentime nannten, sagen, dass sie von einem neuen Bedrohungsakteur namens TA866 durchgeführt wird. Es besteht zwar die Möglichkeit, dass die Gruppe der breiteren Cybersicherheitsgemeinschaft bereits bekannt ist, aber noch konnte niemand sie mit bestehenden Gruppen oder Kampagnen verknüpfen.
Spionage und Diebstahl
Proofpoint beschreibt TA866 als „organisierten Akteur, der in der Lage ist, gut durchdachte Angriffe in großem Maßstab durchzuführen, basierend auf seiner Verfügbarkeit von benutzerdefinierten Tools, der Fähigkeit und Verbindungen zum Kauf von Tools und Diensten von anderen Anbietern und steigendem Aktivitätsvolumen“.
Die Forscher schlagen auch vor, dass die Bedrohungsakteure Russen sein könnten, da einige Variablennamen und Kommentare in Teilen ihrer Payloads der zweiten Stufe in russischer Sprache geschrieben wurden.
In Screentime verschickte TA866 Phishing-E-Mails und versuchte, die Opfer dazu zu bringen, die bösartige Payload namens WasabiSeed herunterzuladen. Diese Malware baut Persistenz auf dem Zielendpunkt auf (öffnet in neuem Tab)und liefert dann unterschiedliche Payloads der zweiten Stufe, je nachdem, was die Bedrohungsakteure zu diesem Zeitpunkt für angemessen halten.
Manchmal lieferte es Screenshotter, Malware mit einem selbsterklärenden Namen, während es manchmal AHK Bot lieferte, eine Endlosschleifenkomponente, die Domain-Profiler, Stealer-Loader und den Rhadamanthys-Stealer lieferte.
Generell scheint die Gruppe finanziell motiviert zu sein, argumentiert Proofpoint. Es gab jedoch Fälle, die die Forscher zu der Annahme veranlassten, dass die Gruppe manchmal auch an Spionage interessiert ist. Es richtete sich hauptsächlich an Organisationen in den Vereinigten Staaten und Deutschland. Es ist wahllos in Bezug auf Branchen – die Kampagnen betreffen alle Branchen.
Die ersten Anzeichen von Screentime-Kampagnen seien im Oktober 2022 zu sehen, sagte Proofpoint und fügte hinzu, dass die Aktivität auch bis 2023 andauere. Tatsächlich beobachteten die Forscher Ende Januar dieses Jahres „Zehntausende von E-Mail-Nachrichten“, die auf mehr als tausend Organisationen abzielten.