One Article Review
| Source |  ProofPoint |
|---|---|
| Identifiant | 8444774 |
| Date de publication | 2024-01-30 05:00:16 (vue: 2024-01-30 13:07:44) |
| Titre | Mémoire de sécurité: \\ 'c'est la saison de Tax Hax Security Brief: \\'Tis the Season for Tax Hax |
| Texte | Ce qui s'est passé Les chercheurs de ProofPoint ont récemment identifié le retour de TA576, un acteur de menace cybercriminale qui utilise des leurres sur le thème de la taxe ciblant spécifiquement les organisations comptables et financières.Cet acteur n'est généralement actif que les premiers mois de l'année pendant la saison fiscale des États-Unis, ciblant généralement les organisations en Amérique du Nord avec des campagnes de messagerie à faible volume.Dans toutes les campagnes, l'acteur par e-mail des demandes d'aide à la préparation des revenus et tentera de livrer des chevaux de Troie à distance (rats). Dans les deux premières campagnes observées en janvier 2024, l'acteur a utilisé un compte compromis pour envoyer des e-mails bénins censés demander une assistance fiscale.Bien que le compte de l'expéditeur ait été compromis, les e-mails comportaient une adresse de réponse avec un domaine récemment enregistré qui appartient probablement à l'acteur de menace.L'acteur de menace a fourni une trame de fond et a demandé des prix et une disponibilité.Si la cible a répondu, l'acteur de menace a répondu par une URL malveillante Google Firebase (Web.App). Lyure sur le thème des impôts utilisé par TA576. Si l'URL était cliquée, elle redirigea vers le téléchargement d'un fichier de raccourci zippé (LNK).Si ce raccourci était exécuté, il a exécuté PowerShell encodé via l'injection SyncappvpublishingServer.vbs lolbas.La commande PowerShell a lancé MSHTA pour exécuter la charge utile de l'application HTML (HTA) à partir d'une URL fournie.Vivant des techniques de binaires terrestres, scripts et bibliothèques (lolbas) devient de plus en plus populaire parmi les menaces cybercriminales. Exemple de cible de raccourci. Le code prend une séquence de valeurs numériques, soustrait un nombre de chacun (dans ce cas 593), et convertit chaque résultat en un caractère utilisant le casting de type [char], et concaténe les caractères en une chaîne stockée dans la variable $ k.Fait intéressant, le nombre soustrait diffère du raccourci au raccourci. La charge utile HTA a exécuté une commande PowerShell à AES Decrypt et décompresser une autre commande qui a téléchargé un exécutable dans le dossier% AppData% et l'a exécuté.Cette technique est similaire à celle précédemment documentée par SANS ISC.L'exécutable de la campagne TA576 a utilisé la technique d'évasion de la "porte du ciel" pour exécuter Parallax Rat. Résumé de la chaîne d'attaque: Message bénigne> Réponse cible> Réponse de l'acteur avec web.app URL> Redirection> zip> lnk> syncappvpublishingServer.vbs lolbas> PowerShell> mshta exécute HTA à partir de l'URL> PowerShell cryptée> Obfuscated PowerShell> Télécharger et exécuter l'exe exe Les campagnes de 2024 de TA576 \\ sont notables car il s'agit du premier point de preuve a observé que l'acteur livrant Parallax Rat.De plus, la chaîne d'attaque de l'acteur \\ à l'aide de techniques LOLBAS et de plusieurs scripts PowerShell est nettement différente des campagnes précédemment observées qui ont utilisé des URL pour zipper les charges utiles JavaScript ou des documents Microsoft Word en macro. Attribution TA576 est un acteur de menace cybercriminale.ProofPoint a suivi TA576 depuis 2018 via des techniques de création de courriels de spam, une utilisation des logiciels malveillants, des techniques de livraison de logiciels malveillants et d'autres caractéristiques.Cet acteur utilise des leurres d'impôt contenant des caractéristiques et des thèmes similaires pendant la saison fiscale américaine pour livrer et installer des rats.Les objectifs de suivi de Ta576 \\ sont inconnus.Bien que les secteurs les plus fréquemment observés ciblés incluent les entités comptables et financières, Proof Point a également observé le ciblage des industries connexes telles que le légal. Pourquoi est-ce important Les campagnes annuelles sur le thème de l'impôt de TA576 \\ servent de rappel récurrent que les acteurs des menaces de cybercri |
| Envoyé | Oui |
| Condensat | –et 101:20190 142 146 193 2018 2024 2024 2044449 2044450 2047156 221 22isfileowner 22version 3afalse 593 7d access accl account accounting active activities activity actor actors additionally address address adopt aes all alliance also america among annual another any app app/2023 app/g3w2 app/ appdata application april are asked assistance attack attempt attribution availability backstory becoming before behaviors benign binaries brief: bvillegas@mountain c2 campaign campaigns capitalize case casting chain chaining char character characteristics characters check cli clicked clusters cnc code com/knitste12 com/sew1 command compromised compromise com concatenates conduct containing converts creation creativity cybercrime cybercriminal decompress decrypt deliver delivering delivery demonstrates description different differs distinctly documented documents domain download downloaded during each early email emails emails emerging enabled encoded encrypted entities eu/public/workdrive evasion events example example executable executed execution exe existing expecting experimentation f6c901d8959b26428c5fbb9b0c4a18be2057bb4d22e85bfe2442c0a8744a9ff6 fact featured featuring file files final finance financial firebase first folder follow frequently from gate generally google happened has hax heaven host hta html hxxps://2023 hxxps://charitytechw hxxps://files hxxps://g3w2host hxxps://redirectit1 hxxps://sacmuo hxxps://uploadfile2024 identified include including incorporate increasingly indicator indicators indicator industries inject install interestingly in isc january javascript land land” launched least legal libraries likely living lnk lolbas low lure lures m18 m18 macro malicious malware matters message microsoft month months more most msg= mshta multiple my1040 north notable number numerical obfuscated objectives observed observed off one only organizations other owned parallax part payload payloads payload popular powershell preparation previously pricing progresses proofpoint provided public/download/dcyo813923950520542f6bba4f49d89fddf2d purporting ran rat rats recently recurring redirect redirected registered related reminder remote replied reply request requests researchers responded response result return run runs sans scripts season seasonal sectors security see send sender sequence serve services set sha256 shortcut signatures similar since spam specifically stored string subtracted subtracts such summary: syncappvpublishingserver ta558 ta576 takes target targeted targeting tax technique techniques theme themed themes threat threats through time tis together tracked trend trojans two type typically unattributed unique unknown url urls usage used uses using values variable vbs volume web what why will word year zip zipped zip zohopublic “living |
| Tags | Spam Malware Threat Prediction |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.