Kiberbiztonsági illusztráció
Úgy tűnik, hogy egy professzionális hackercsoport, amely kifinomult technikákkal hajtja végre az adathalászatot és a rosszindulatú programok más formáit, irányát megváltoztatja. Annak egyértelmű célja, hogy a minőséget előtérbe helyezze a mennyiség helyett, a hírhedt TA505 hackerek csoportja az AndroMut nevű rosszindulatú kód új formáját használta. Érdekes módon úgy tűnik, hogy a rosszindulatú programokat Andromeda ihlette. Az eredetileg egy másik hackercsoport tervezte, az Andromeda a világ egyik legnagyobb kártevő-botnete volt a közelmúltban, 2017-ben. Az Andromeda-kódon alapuló botnetek sikeresen végrehajtották hasznos terhelését a Windows operációs rendszert futtató gyanús és sérülékeny számítógépeken. Úgy tűnik, hogy az AndroMut nagyrészt ezen az Andromeda kódon alapszik, amely jelzi a hackercsoportok közötti lehetséges együttműködést.
Úgy tűnik, hogy a világ egyik legsikeresebb számítógépes bűnözői csoportja, akik TA505-nek hívják magukat, megváltoztatta taktikáját. A pénzügyi információk megtámadásának és ellopásának legújabb rosszindulatú kampányának részeként a csoport a rosszindulatú programok új formájának terjesztésével van elfoglalva. Ahelyett, hogy a TA505 csoport nagyszámú személyt célozna meg a forgatókönyv részeként, a bankok és más pénzügyi szolgáltatások után jár. Egyébként a belépés vagy a kiindulás pontja ugyanaz marad, de a tervezett cél és a hangsúly a szervezett pénzügyi szektorra mutat. Egyébként az Egyesült Államokban, az Egyesült Arab Emírségekben és Szingapúrban működő pénzügyi társaságoknak azt javasoljuk, hogy fokozott figyelemmel kísérjék és keressenek minden gyanús tartalmat. A támadás leggyakoribb pontjai továbbra is a hivatalos kinézetű e-mailek maradnak.
A TA505 Group az Andromeda Base-t használja az AndroMut fejlesztésére és telepítésére
Úgy tűnik, hogy a hírhedt TA505 csoport intenzitása megnőtt az elmúlt hónapban, és ugyanolyan hevesen folytatta. Már nem próbál olyan véletlenszerű támadási hullámokat telepíteni, amelyek megkísérlik megszerezni az áldozatok gépeinek irányítását. Más szóval, a tömeges adathalász e-mailek már nem az előnyben részesített taktikák. Ehelyett a TA505 csoport jelentősen csökkentette a támadások mennyiségét, és egyértelműen áttért a célzottabb támadásokra.
Szép írás @proofpoint
kutatók a TA505 két különálló kampányáról tárgyaltak, amelyek AndroMut-t használtak a FlawedAmmyy letöltésére. Az AndroMut C ++ nyelven íródott, és egyfajta letöltő.
Blog: https://t.co/vIDcrhKQ3z
Minták: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 2019. július 3
Számos gyanús e-mail elemzése és az elektronikus kommunikáció és média egyéb formáinak elemzése alapján a kiberbiztonsági kutatók a Proofpoint jelezték, hogy a hackerek csoportja a jelek szerint a bankok és más pénzügyi szolgáltatók alkalmazottait célozza meg. A kutatók felfedezték a kifinomult rosszindulatú programok új formájának használatát is. A kutatók AndroMut-nak hívják, és felfedezték, hogy a rosszindulatú programnak meglehetősen sok hasonlósága van az Andromedával. A hackerek teljesen más csoportja által tervezett és telepített Andromeda a világ egyik legsikeresebben kivitelezett, legveszélyesebb és az egyik legnagyobb kártevő szoftveres hálózata. Az Andromeda 2017-ig terjedően terjedt, és sikeresen telepítette magát a Windows operációs rendszert futtató sebezhető számítógépekre.
Hogyan hajtja végre a TA505 csoport a rosszindulatú programok támadását?
A többi TA505 csoport legtöbb támadásához hasonlóan az új AndroMut rosszindulatú programokat is szabályos kinézetű e-maileken keresztül terjesztik. Az adathalász támadások olyan e-maileket tartalmaznak, amelyek kinézete rendkívül hivatalos és hiteles. Az ilyen e-mailek általában azt állítják, hogy számlákat és egyéb dokumentumokat tartalmaznak, amelyek állítólag a banki és pénzügyi ügyekkel kapcsolatosak. Az adathalászat során használt e-maileket gyakran gondosan létrehozzák. Bár több e-mail tartalmazza a népszerű PDF dokumentumot, úgy tűnik, hogy a TA505 csoport adathalász e-mailjei a Word dokumentumokra támaszkodnak.
https://twitter.com/rsz619mania/status/1146387091598667777
Amint a gyanútlan áldozat kinyitja a fűzött Word dokumentumot, a csoport a szociális tervezésre támaszkodik a támadás folytatásához. Ez bonyolultnak tűnhet, de valójában a támadás egy meglehetősen ősi „makrók” módszeren alapszik a Word dokumentumban. A célokat tájékoztatják arról, hogy az információk „védettek”, és lehetővé kell tenniük a szerkesztést, hogy lássák azok tartalmát. Ez lehetővé teszi a makrókat, és lehetővé teszi az AndroMut szállítását a gépre. Ez a rosszindulatú program diszkréten letölti a FlawedAmmyy fájlt. Miután mindkettő telepítve van, az áldozatok gépei teljesen veszélybe kerülnek.
Mi az AndroMut és hogyan működik a többlépcsős kártevő?
A TA505 jelenleg az AndroMut-ot használja a kétlépcsős támadás első szakaszaként. Más szóval, az AndroMut az áldozatok számítógépeinek sikeres fertőzésének és ellenőrzésének első része. Miután sikeresen behatolt, AndroMut a fertőzés segítségével diszkréten lead egy második hasznos terhet a sérült gépre. A rosszindulatú kód második hasznos terhe FlawedAmmyy. Lényegében a FlawedAmmyy egy hatékony és hatékony távoli hozzáférésű trójai program vagy RAT.
Az agresszív második stádiumú RAT FlawedAmmyy egy virulens kártevő, amely távoli hozzáférést biztosít az áldozatok számítógépeihez. A támadók távoli adminisztrációs jogosultságokat kaphatnak. Miután a támadók beléptek, teljes hozzáférésük van a fájlokhoz, a hitelesítő adatokhoz és egyebekhez.
Egyébként az adatok önmagukban nem a célpontok. Más szóval, az adatok lopása nem az elsődleges szándék. A forgatókönyv részeként a TA505 csoport olyan információk után áll, amelyek hozzáférést biztosítanak számukra a bankok és más pénzügyi intézmények belső hálózatához.
A TA505 elindítja az AndroMut kártevőket https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 2019. július 3
A TA505 csoport követi a pénzt, mondják szakértők:
Chris Dawson, a hackercsoport tevékenységéről szólva a fenyegetéskutatás vezet Proofpoint azt mondta: 'Az A505 elsődlegesen a RAT-ok és a letöltők terjesztése sokkal célzottabb kampányokban, mint amennyit korábban a banki trójai programok és a ransomware programban alkalmaztak, a taktikájukban alapvető változásra utal. Lényegében a csoport magasabb színvonalú fertőzések után folyik, amelyek hosszabb távú bevételszerzési lehetőséget kínálnak - a minőség helyett a mennyiség. ”
A kiberbűnözők lényegében finomhangolják támadásaikat, és hatalmas e-mailes kampányok folytatása, valamint az áldozatok elcsábításának reményében választják ki célpontjaikat. Az adatok, és ami még fontosabb, érzékeny információk után kutatnak, hogy pénzt lopjanak. A legújabb pivot lényegében csak egy példa a hackerekre, akik követik a piacot és a pénzt. Ennélfogva a stratégia elmozdulása nem tekinthető állandónak, figyelte Dawson: „Ami nem világos, az ennek a változásnak a végső eredménye vagy végjátéka. Az A505 nagyon követi a pénzt, alkalmazkodva a globális trendekhez, és új földrajzokat és hasznos tehereket kutat a megtérülés maximalizálása érdekében. '
Címkék rosszindulatú
