TA569 to grupa cyberprzestępcza, znanym przede wszystkim z wdrażania złośliwych kodów JavaScript na stronach internetowych, które instalują złośliwe oprogramowanie SocGholish na komputerach, uzyskujących dostęp do tych stron. W ciągu ostatnich kilku miesięcy badacze Proofpoint zaobserwowali zmiany w taktyce, technikach i procedurach (TTP) stosowanych przez grupę TA569. Zmiany obejmują zwiększenie liczby odmian złośliwego kodu, ładunki odbiegające od standardowych pakietów JavaScript „Fake Update” SocGholish. Zmiany i ich częstotliwość są prawdopodobnie spowodowane weryfikacją danych dotyczących skuteczności łańcucha ataków i rentowność. Proofpoint uważa grupę TA569 za brokera dostępu początkowego (IAB) i niezależnego cyberprzestępcę, który infiltruje główne cele, a następnie sprzedaje dostęp innym cyberprzestępcom w celu dostarczania kolejnych ładunków, takich jak ransomware. Proofpoint uważa, że oprócz bycia IAB, grupa TA569 wykorzystuje swoją rozległą sieć wstrzykiwania złośliwych kodów i infrastrukturę, aby oferować płatną usługę za instalację (PPI) innym ugrupowaniom cyberprzestępczym.
Łańcuch infekcji rozpoczyna się, gdy użytkownik odwiedza zainfekowaną złośliwym kodem witrynę. Następuje to m.in. poprzez kliknięcie w dostarczony link z wiadomości e-mail lub bezpośrednie odwiedzenie strony internetowej. Przeglądarka ofiary interpretuje złośliwy kod JavaScript i jeśli środowisko spełnia określone kryteria, wówczas zostanie dostarczone złośliwe oprogramowanie SocGholish – np. jako fałszywa aktualizacja przeglądarki, która prezentuje się w formacie pełnoekranowym, jakby pochodziła z samej witryny.
Proofpoint zaobserwował również inne przynęty wykorzystywane przez grupę TA569 do dostarczania innych złośliwych programów, w tym: ochronę przed odmową usługi (DDoS), fałszywe aktualizacje oprogramowania zabezpieczającego, kody captcha i inne motywy związane z rzekomymi „aktualizacjami”. Wabiki te są wykorzystywane do dostarczania różnych ładunków szkodliwego oprogramowania, w tym narzędzi służących do kradzieży informacji i trojanów zdalnego dostępu (RAT).
Po kliknięciu przynęty pobierany jest plik zawierający złośliwe oprogramowanie. Typ pliku zależy od ładunku i obejmuje między innymi pliki .js, .zip lub .iso. Użytkownik musi uruchomić plik, aby złośliwe oprogramowanie mogło zadziałać na hoście. Różne trojany RAT i aplikacje „złodzieje informacji”, jak SocGholish, mogą przygotować grunt pod kolejne infekcje złośliwym oprogramowaniem, w tym ransomware .
Etap 1 wstrzyknięcia SocGholish
Wskaźnik kompromisu
Etap 1
soendorg[.]top
hxxps[://]jquery0[.]com/JkrJYcvQ
IP: 45.9.190[.]217,77.91.127[.]52, 82.180.154[.]113, 84.32.188[.]27, 159.69.101[.]84,
185.185.87[.]19, 185.185.87[.]24, 188.138.69[.]102, 195.133.88[.]19