Proofpoint har avslöjat en ny, “mycket aktiv” hotgrupp som utger sig för att vara den filippinska regeringen och företag för att sprida trojanska skadliga program.
I onsdags sa forskarna Selena Larson och Joe Wise att hotaktörerna, kallade “Balikbayan Foxes” och spåras som TA2722, är koncentrerade till Filippinerna men riktar sig till frakt, logistik, tillverkning, läkemedel, affärer, och energisektorer i USA, Europa och Asien.
Balikbayan Foxes har genomfört kampanjer under 2021 där gruppen skickade nätfiske-e-postmeddelanden som påstod sig vara från filippinska myndigheter inklusive landets hälsodepartement, arbetsförmedling och tull.
Dessutom har hotaktörerna utgett sig för att vara DHL Philippines – DHL är ett vanligt offer för identitetsstöld över hela världen som en leveranstjänst – och Manilas ambassad för kungariket Saudiarabien (KSA).
Enligt forskarna används nätfiske, falska e-postadresser och e-postbeten för att få tag i sina offer. Dessa inkluderade meddelanden om covid-19-infektionsfrekvens, fakturering, fakturering och branschrådgivning.
Några av målen är inblandade i stora leveranskedjor, så om de äventyras kan dessa attacker få en långtgående inverkan.
Varje kampanj som spåras av Proofpoint har utformats för att distribuera Remcos och NanoCore Remote Access Trojans (RAT) för övervakning och datastöld.
I vissa fall skickades nätfiske-e-postmeddelanden innehållande OneDrive-länkar till skadliga .RAR-filer, medan i andra bifogades skapade .PDF-filer som innehöll inbäddade webbadresser till skadliga körbara filer. Gruppen använde också en annan vanlig distributionsmetod för skadlig nyttolast – Office-dokument som innehöll makron som, när de var aktiverade, utlöste körning av trojaner.
Proofpoint tror att hotaktörens aktiviteter kan gå tillbaka så långt som till augusti 2020 baserat på aktiviteterna hos flera kluster och kommando-och-kontrollservrar (C2) som nu är knutna till Balikbayan Foxes.
Nyligen tycks gruppen utvidga sin taktik till att även omfatta insamling av referenser. I september användes namnet på Philippines Bureau of Customs CPRS för att övertala offer att besöka en skadlig domän och för att skicka in kontouppgifter i bedrägerier med e-postkompromering (BEC).
Intressant är att en enda e-postadress kopplad till flera IP-adresser associerade med denna våg av attacker också har kopplats till 2017 års kampanjer utformade för att distribuera Adwind/jRAT Trojan, som har varit tillgänglig för brottslingar som skadlig programvara -som-en-tjänst-erbjudande sedan 2016.
Tidigare och relaterad bevakning
Ny avancerad hackinggrupp riktar sig till regeringar, ingenjörer över hela världen
ESET upptäcker en sällsynt APT som förblev oupptäckt i nio år
Kinesiska APT LuminousMoth missbrukar Zoom-varumärket för att rikta in sig på regeringen inte byråer
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499 eller över på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 