Proofpoint har afsløret en ny, “meget aktiv” trusselgruppe, der efterligner den filippinske regering og virksomheder for at sprede trojansk malware.
I onsdags sagde forskerne Selena Larson og Joe Wise, at trusselsaktørerne, kaldet “Balikbayan Foxes” og spores som TA2722, er koncentreret i Filippinerne, men er rettet mod forsendelse, logistik, fremstilling, farmaceutisk, forretning, og energisektorer på tværs af USA, Europa og Asien.
Balikbayan Foxes har gennemført kampagner i løbet af 2021, hvor gruppen sendte phishing-e-mails, der hævdede at være fra filippinske regeringsenheder, herunder landets sundhedsministerium, arbejdsformidling og told.
Derudover har trusselsaktørerne efterlignet DHL Philippines – DHL er et almindeligt offer for personefterligning på verdensplan som en leveringstjeneste – og Manila-ambassaden for Kongeriget Saudi-Arabien (KSA).
Ifølge forskerne bruges phishing, forfalskede e-mailadresser og e-mailede lokker til at fange deres ofre. Disse omfattede meddelelser om COVID-19-infektionsrater, fakturering, fakturering og industrirådgivning.
Nogle af målene er involveret i store forsyningskæder, og hvis de kompromitteres, kan disse angreb have en vidtrækkende indvirkning.
Hver kampagne, der spores af Proofpoint, er designet til at implementere Remcos og NanoCore Remote Access Trojans (RAT'er) med henblik på overvågning og datatyveri.
I nogle tilfælde blev der sendt phishing-e-mails indeholdende OneDrive-links til ondsindede .RAR-filer, mens der i andre blev vedhæftet udformede .PDF'er, der indeholdt indlejrede URL'er til ondsindede eksekverbare filer. Gruppen brugte også en anden almindelig malware-nyttelastimplementeringsmetode – Office-dokumenter, der indeholdt makroer, som, når de var aktiveret, udløste trojansk kørsel.
Proofpoint mener, at trusselsaktørens aktiviteter kan gå tilbage så langt som til august 2020 baseret på aktiviteterne fra flere klynger og kommando-og-kontrol (C2)-servere, der nu er knyttet til Balikbayan Foxes.
For nylig ser det ud til, at gruppen udvider sin taktik til også at omfatte indsamling af legitimationsoplysninger. I september blev navnet på Philippines Bureau of Customs CPRS brugt til at overtale ofre til at besøge et ondsindet domæne og til at indsende kontooplysninger i business email compromise (BEC) svindel.
Af interesse er, at en enkelt e-mailadresse knyttet til flere IP'er forbundet med denne bølge af angreb også er blevet forbundet med 2017-kampagner designet til at implementere Adwind/jRAT-trojaneren, som har været tilgængelig for kriminelle som malware -som-en-tjeneste-tilbud siden 2016.
Tidligere og relateret dækning
Ny avanceret hackergruppe retter sig mod regeringer, ingeniører over hele verden
ESET opdager en sjælden APT, der forblev uopdaget i ni år
Kinesisk APT LuminousMoth misbruger Zoom-mærket for at målrette mod regering 't bureauer
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centres 