Илюстрация за киберсигурност
Професионална хакерска група със сложни техники за изпълнение на фишинг и други форми на злонамерени атаки изглежда променя посоката си. С ясната цел да даде приоритет на качеството пред количеството, скандалната група хакери TA505 се завъртя, използвайки нова форма на злонамерен код, наречен AndroMut. Интересното е, че изглежда, че зловредният софтуер е вдъхновен от Andromeda. Първоначално проектирана от друга хакерска група, Andromeda беше един от най-големите ботнети за зловреден софтуер в света наскоро през 2017 г. Ботнети, базирани на кода на Andromeda, успешно изпълниха доставката си на полезен товар на няколко заподозрени и уязвими компютри, работещи с операционна система Windows. Изглежда, че AndroMut се основава до голяма степен на този код на Andromeda, показващ възможно сътрудничество между хакерските групи.
Една от най-успешните киберпрестъпни групи в света, които се наричат TA505, изглежда е променила тактиката си. Като част от последната злонамерена кампания за атака и кражба на финансова информация, групата е заета с разпространението на нова форма на зловреден софтуер. Вместо да се насочи към голям брой лица, като част от опората, групата TA505 изглежда преследва банки и други финансови услуги. Между другото точката на влизане или произход наистина остава същата, но планираната цел и фокус изглежда са насочени към организирания финансов сектор. Между другото, финансовите компании в САЩ, Обединените арабски емирства и Сингапур се съветват да бъдат в повишена готовност и да търсят всякакво подозрително съдържание. Някои от най-честите точки на атаката остават официално изглеждащи имейли.
TA505 Group използва Andromeda Base за разработване и внедряване на AndroMut
Известната група TA505 изглежда е увеличила своята интензивност през последния месец и е продължила със същата жестокост. Вече не се опитва да разгърне произволни вълни от атаки, които се опитват да получат контрол над машините на жертвите. С други думи, масовите фишинг имейли вече не са предпочитаните тактики. Вместо това, групата TA505 значително намали обема на атаките и ясно премина към по-целенасочени атаки.
Хубаво писане от @proofpoint
изследователи, обсъждащи две отделни кампании от TA505, които използваха AndroMut за изтегляне на FlawedAmmyy. AndroMut е написан на C ++ и е вид изтегляне.
Блог: https://t.co/vIDcrhKQ3z
Проби: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3 юли 2019 г.
Въз основа на анализа на няколко предполагаеми имейла и други форми на електронна комуникация и медии, изследователи в областта на киберсигурността в Proofpoint са посочили, че групата хакери изглежда е насочена към служители на банки и други доставчици на финансови услуги. Изследователите също така разкриха използването на нова форма на сложен зловреден софтуер. Изследователите го наричат AndroMut и са открили, че зловредният софтуер има доста прилики с Andromeda. Проектирана и внедрена от съвсем различна група хакери, Andromeda е една от най-успешно изпълнените, опасни и една от най-големите мрежи от ботнети за злонамерен софтуер в света. До 2017 г. Andromeda се разпространяваше плодотворно и успешно се инсталираше на уязвими компютри, работещи под операционната система Windows.
Как групата TA505 изпълнява атаката на зловреден софтуер?
Подобно на повечето атаки на другата група TA505, новият злонамерен софтуер AndroMut също се разпространява чрез законни имейли. Фишинг атаките включват имейли, които изглеждат и се чувстват изключително официални и автентични. Такива имейли обикновено твърдят, че съдържат фактури и други документи, за които се предполага, че са свързани с банковото дело и финансите. Имейлите, използвани при фишинг, често се създават старателно. Въпреки че няколко имейла съдържат популярния PDF документ, фишинг имейлите от групата TA505 изглежда разчитат на документи на Word.
https://twitter.com/rsz619mania/status/1146387091598667777
След като нищо неподозиращата жертва отвори завързания документ на Word, групата разчита на социалното инженерство, за да продължи атаката. Това може да звучи сложно, но всъщност атаката разчита на доста древен метод на „макроси“ в документ на Word. Целите се информират, че информацията е „защитена“ и те трябва да позволят редактиране, за да видят нейното съдържание. Това позволява макроси и позволява AndroMut да бъде доставен на машината. След това този зловреден софтуер дискретно изтегля FlawedAmmyy. След като и двете са инсталирани, машините на жертвите са напълно компрометирани.
Какво е AndroMut и как работи многоетапният зловреден софтуер?
В момента TA505 използва AndroMut като първи етап в двустепенна атака. С други думи, AndroMut е първата част от успешна инфекция и контрол на компютрите на жертвите. Веднъж успешен в проникването, AndroMut използва инфекцията, за да пусне дискретно втори полезен товар върху компрометираната машина. Вторият товар на злонамерен код се нарича FlawedAmmyy. По същество FlawedAmmyy е мощен и ефективен троянец за отдалечен достъп или RAT.
Агресивният втори етап RAT FlawedAmmyy е вирулентен зловреден софтуер, който предоставя отдалечен достъп до компютрите на жертвите. Атакуващите могат да получат отдалечени административни привилегии. Веднъж влезли, хакерите имат пълен достъп до файлове, идентификационни данни и други.
Между другото, данните сами по себе си не са целта. С други думи, кражбата на данни не е основното намерение. Като част от пивота, групата TA505 търси информация, която им предоставя достъп до вътрешната мрежа на банки и други финансови институции.
TA505 стартира зловреден софтуер AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 юли 2019 г.
TA505 Group следва парите, казват експерти:
Говорейки за дейността на хакерската група, Крис Доусън, ръководител на разузнаването за заплахи Proofpoint каза, „Преминаването на A505 към разпространение предимно на RAT и изтеглящи файлове в много по-целенасочени кампании, отколкото преди са използвали банкови троянски коне и рансъмуер, предполага фундаментална промяна в тактиката им. По същество групата преследва инфекции с по-високо качество с потенциал за по-дългосрочна монетизация - качество над количество. '
Киберпрестъпниците по същество прецизират своите атаки и подбират целите си, вместо да предприемат масивни кампании по имейл и да се надяват да заловят жертвите. Те се стремят към данните и, което е по-важно, чувствителна информация, за да крадат пари. Последният пивот е по същество само пример за хакери, които следят пазара и парите. Следователно промяната в стратегията не трябва да се счита за постоянна, отбеляза Доусън, „Това, което не е ясно, е крайният резултат или крайната игра на тази промяна. A505 много следва парите, като се адаптира към световните тенденции и изследва нови географии и полезни товари, за да максимизира възвръщаемостта си. '
Етикети злонамерен софтуер
