Proofpoint heeft een nieuwe, “zeer actieve” bedreigingsgroep ontdekt die zich voordoet als de Filippijnse overheid en bedrijven om Trojaanse malware te verspreiden.
Woensdag zeiden onderzoekers Selena Larson en Joe Wise dat de dreigingsactoren, genaamd “Balikbayan Foxes” en gevolgd als TA2722, geconcentreerd zijn in de Filippijnen, maar zich richten op de scheepvaart, logistiek, productie, farmacie, het bedrijfsleven, en energiesectoren in de VS, Europa en Azië.
Balikbayan Foxes heeft in 2021 campagnes gevoerd waarin de groep phishing-e-mails stuurde die beweerden afkomstig te zijn van Filippijnse overheidsinstanties, waaronder het ministerie van Volksgezondheid, het arbeidsbureau en de douane.
Bovendien hebben de dreigingsactoren zich voorgedaan als DHL Filippijnen — DHL is wereldwijd een veelvoorkomend slachtoffer van nabootsing als bezorgdienst — en de Manilla-ambassade voor het Koninkrijk Saoedi-Arabië (KSA).
Volgens de onderzoekers worden phishing, vervalste e-mailadressen en gemaild kunstaas gebruikt om hun slachtoffers te pakken te krijgen. Deze omvatten berichten over COVID-19-infectiepercentages, facturering, facturering en brancheadviezen.
Sommige doelwitten zijn betrokken bij grote toeleveringsketens, dus als ze worden gecompromitteerd, kunnen deze aanvallen verstrekkende gevolgen hebben.
Elke campagne die door Proofpoint wordt gevolgd, is ontworpen om de Remcos en NanoCore Remote Access Trojans (RAT's) in te zetten voor bewaking en gegevensdiefstal.
In sommige gevallen werden phishing-e-mails verzonden met OneDrive-koppelingen naar schadelijke .RAR-bestanden, terwijl in andere gevallen bewerkte .PDF's werden bijgevoegd die ingesloten URL's naar schadelijke uitvoerbare bestanden bevatten. De groep gebruikte ook een andere veelgebruikte methode voor het implementeren van malware-payload: Office-documenten met macro's die, indien ingeschakeld, de uitvoering van Trojaanse paarden activeerden.
Proofpoint gelooft dat de activiteiten van de dreigingsactor terug kunnen gaan tot augustus 2020 op basis van de activiteiten van meerdere clusters en command-and-control (C2) -servers die nu verbonden zijn met Balikbayan Foxes.
Onlangs lijkt de groep haar tactieken uit te breiden met het verzamelen van referenties. In september werd de naam van het Filippijnse douanebureau CPRS gebruikt om slachtoffers over te halen een kwaadaardig domein te bezoeken en accountgegevens in te dienen bij oplichting met zakelijke e-mailcompromissen (BEC).
Van belang is dat een enkel e-mailadres dat is gekoppeld aan meerdere IP's die zijn gekoppeld aan deze golf van aanvallen, ook is gekoppeld aan campagnes van 2017 die zijn ontworpen om de Adwind/jRAT-trojan te implementeren, die beschikbaar is voor criminelen als een malware-as-a-service-aanbod sinds 2016.
Eerdere en gerelateerde berichtgeving
Nieuwe geavanceerde hackgroep richt zich op overheden, ingenieurs wereldwijd
ESET ontdekt een zeldzame APT die negen jaar onopgemerkt bleef
Chinese APT LuminousMoth misbruikt Zoom-merk om overheidsinstanties te targeten
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 