Proofpoint已识别出两个新的网络犯罪威胁行为者 ——TA2726 和 TA2727,他们参与了网页注入攻击活动,同时还发现了针对MacOS用户的新型恶意软件。恶意网站注入的形势特点是,多个威胁行为者采用恶意软件传播方法,这些方法通常涉及三个要素:提供给网站访问者的恶意 JavaScript 脚本、一个决定传播何种负载的流量分发服务,以及由该脚本下载的最终负载。尽管威胁行为者 TA569 曾发起过一些引人注目的网页注入攻击活动,但新的行为者已经出现,这使得分析师追踪此类攻击的工作变得更加复杂。从 2023 年开始,Proofpoint观察到多个威胁行为者采用了类似的Web注入和流量重定向技术。这些模仿者使用相似方法的出现,加剧了区分他们的难度。Proofpoint发布这份报告,旨在厘清其中涉及的威胁行为者。TA2726 和 TA2727 已被确定为新的流量贩卖者和恶意软件分发者,他们专门在以受攻击网站为特征的网络攻击链中活动。这些攻击活动与基于电子邮件的威胁不同,后者与合法但已遭入侵的网站相关联。已发现 TA2727 与一种名为 FrigidStealer的新型信息窃取恶意软件的传播有关,该恶意软件针对苹果电脑,同时 TA2727 还涉及传播现有的针对 Windows 和Android 系统的恶意软件。Proofpoint也在重新评估过去被认为是 TA569 实施的活动,并高度确信 TA2726 充当着 TA569 和 TA2727 的流量分发服务角色。据悉,TA2726 运营着一个流量分发服务(TDS),为多个行为者传播恶意软件提供便利,并且可能在网络犯罪论坛上兜售流量,不过这一点尚未得到高度确信的证实。TA2726 至少从 2022 年 9 月起就开始活跃,它不开展电子邮件攻击活动,任何电子邮件活动都是网站共享带来的附带影响。该行为者主要针对北美地区,将流量重定向到 TA569,而将其他地区的流量导向 TA2727,以传播包括Lumma Stealer、DeerStealer、FrigidStealer或 Marcher等各种恶意软件。TA2726 所使用的基础设施,比如使用 Keitaro 系统以及特定的域名和 IP 地址模式,能够清晰地识别出其活动。追溯分析表明,先前以SocGholish之名报告的流量分发服务活动可以追溯到 TA2726。TA2727 是一个受经济利益驱动的组织,它与其他以盈利为目的的行为者合作,据信会在在线论坛上购买流量来传播恶意软件。这个行为者于 2025 年 1 月首次被认定,当时的一场攻击活动最初被认为与 TA569 有关。在这场攻击活动中,电子邮件中的网址将用户引导至已被注入恶意 JavaScript 的受攻击网站。攻击者使用了基于位置的重定向技术来提供特定的负载。在北美地区,用户遇到的是 SocGholish 注入,而在法国和英国,发现了一种独特的虚假更新负载链。在欧洲的这场攻击活动中,攻击者针对使用Microsoft Edge或Google Chrome 的 Windows 设备,将其重定向到虚假的更新网站,通过一个被植入木马的 IFILOader 安装 Lumma Stealer 恶意软件。这场攻击活动的一个独特分支使用 Marcher 木马攻击安卓设备,Marcher 自 2013 年起就是已知的威胁。在 2025 年 1 月底的进一步分析中,重点关注到MacOS用户正成为新型恶意软件 FrigidStealer 的攻击目标。用户访问受攻击的网站时,会被重定向到虚假的更新页面,如果与之交互,就会安装该恶意软件。Proofpoint的研究人员已提供了技术细节,阐明了此次攻击是如何绕过MacOS的安全功能来安装FrigidStealer 的。Web注入威胁具有动态变化和不断演变的特点,这就要求安全团队保持警惕。最佳实践包括制定网络检测规则、对用户进行培训,以及使用浏览器隔离工具。鼓励各组织实施全面的防御措施和用户培训计划,以有效降低这些威胁带来的风险。
