กลุ่ม TA866 กลับมาพร้อมกับแคมเปญการโจมตีด้วยอีเมลขนาดใหญ่

นักวิจัยจาก Proofpoint ระบุการกลับมาของกลุ่ม TA866 ในแคมเปญภัยคุกคามทางด้านอีเมล หลังจากที่หายไปเป็นเวลาเกือบ 9 เดือน

ในวันที่ 11 มกราคมที่ผ่านมา Proofpoint ได้ Block แคมเปญการโจมตีด้วยอีเมลขนาดใหญ่ ที่ประกอบไปด้วยอีเมลจำนวนหลายพันฉบับ ที่มุ่งเป้าหมายไปที่ประเทศในอเมริกาเหนือ ซึ่งเป็นอีเมลเกี่ยวกับใบแจ้งหนี้ที่มีการแนบไฟล์ PDF เช่น "Document_[10 digits].pdf" และหัวข้อต่าง ๆ เช่น "Project achievements" โดย PDF เหล่านี้จะมี OneDrive URLs ที่เมื่อเหยื่อทำการคลิก จะทำให้เกิดกระบวนการของมัลแวร์หลายขั้นตอน และท้ายที่สุดจะถูกติดตั้ง payload ซึ่งเป็นชุดเครื่องมือรูปแบบหนึ่งของ WasabiSeed และ Screenshotter

หากผู้ใช้คลิกที่ OneDrive URL ภายในไฟล์ PDF จะเกิดการดำเนินการดังนี้

ดาวน์โหลดไฟล์ JavaScript ที่โฮสต์อยู่บน OneDrive
ไฟล์ JavaScript หากถูกรันโดยผู้ใช้งาน จะทำการดาวน์โหลด และรันไฟล์ MSI
ไฟล์ MSI จะทำการ execute WasabiSeed VBS script ที่ฝังอยู่
จากนั้น WasabiSeed VBS script จะทำการดาวน์โหลด และเรียกใช้ไฟล์ MSI ไฟล์ที่สอง และทำการตรวจสอบโค้ดสำหรับดาวน์โหลด payload เพิ่มเติม
สุดท้าย ไฟล์ MSI ที่สองมีส่วนประกอบของ Screenshotter screenshot utility ที่จะถ่ายภาพหน้าจอ desktop และส่งกลับไปยัง C2 Server

Attack chain summary: Email > PDF > OneDrive URL > JavaScript > MSI / VBS (WasabiSeed) > MSI (Screenshotter)

โดยเทคนิคการโจมตีลักษณะดังกล่าวจะคล้ายกับแคมเปญการโจมตีด้วยอีเมลที่ถูกบันทึกไว้โดย Proofpoint เมื่อวันที่ 20 มีนาคม 2023 ความคล้ายคลึงกันนี้ช่วยในการระบุแหล่งที่มา โดยเฉพาะอย่างยิ่งเมื่อมีการใช้ spam service เหมือนกับกลุ่ม TA571 ในทำนองเดียวกัน WasabiSeed ยังคงเหมือนเดิมเกือบทั้งหมด และสคริปต์ และส่วนประกอบของ Screenshotter ยังคงเหมือนเดิมเกือบทั้งหมด แม้ว่า Proofpoint ไม่ได้เชื่อมโยงเทคนิคการโจมตีของกลุ่ม TA866 ** ว่าเกี่ยวข้องกับกลุ่ม TA571 ในตอนแรก การวิเคราะห์ในเวลาต่อมาก็เชื่อมโยงความเกี่ยวข้องกันในภายหลัง

หนึ่งในการเปลี่ยนแปลงที่ใหญ่ที่สุดในแคมเปญนี้ คือการใช้ไฟล์ PDF ที่มีลิงก์ OneDrive ซึ่งเป็นรูปแบบใหม่ แคมเปญก่อนหน้านี้โดยทั่วไปใช้ไฟล์แนบ Publisher ที่เปิดใช้งาน macro หรือ URL 404 TDS โดยตรงในตัวเนื้อหาอีเมล