Pelaku ancaman baru dilacak saat TA886 menargetkan organisasi di Amerika Serikat dan Jerman dengan malware khusus baru untuk melakukan pengawasan dan pencurian data pada sistem yang terinfeksi.
Kelompok aktivitas yang sebelumnya tidak diketahui pertama kali ditemukan oleh Proofpoint pada Oktober 2022, dengan perusahaan keamanan melaporkan bahwa hal itu berlanjut hingga 2023.
Pelaku ancaman tampaknya memiliki motivasi finansial, melakukan evaluasi awal terhadap sistem yang dilanggar untuk menentukan apakah target cukup berharga untuk disusupi lebih lanjut.
Pelaku ancaman menargetkan korban menggunakan email phishing yang menyertakan lampiran Microsoft Publisher (.pub) dengan makro berbahaya, URL yang tertaut ke file .pub dengan makro, atau PDF berisi URL yang mengunduh file JavaScript berbahaya.
Proofpoint mengatakan jumlah email yang dikirim di TA886 meningkat secara eksponensial pada Desember 2022 dan terus meningkat pada Januari 2023, dengan email yang ditulis dalam bahasa Inggris atau Jerman, tergantung targetnya.
Penyerang kemudian secara manual memeriksa tangkapan layar ini dan memutuskan apakah korban berharga. Evaluasi ini mungkin termasuk membuat malware Screenshotter mengambil lebih banyak tangkapan layar atau menjatuhkan muatan khusus tambahan seperti:
- Skrip profiler domain yang mengirimkan detail domain AD (Active Directory) ke C2
- Skrip pemuat malware (AHK Bot loader) yang memuat pencuri info ke dalam memori
Pencuri yang dimuat dalam memori bernama Rhadamanthys, keluarga malware terlihat dipromosikan di forum bawah tanah sejak musim panas lalu dan menjadi lebih umum digunakan dalam serangan.
Kemampuannya termasuk mencuri dompet cryptocurrency, kredensial, dan cookie yang disimpan di browser web, klien FTP, akun Steam, akun Telegram dan Discord, konfigurasi VPN, dan klien email.
Proofpoint telah berusaha untuk menemukan tumpang tindih dan kesamaan dengan laporan sebelumnya yang menggambarkan TTP serupa (teknik, taktik, dan prosedur), tetapi tidak dapat membuat hubungan yang pasti.
Namun, ada tanda-tanda alat Bot AHK digunakan dalam kampanye spionase sebelumnya.
Selengkapnya : bleepingcomputer
