Илустрација циберсецурити
Чини се да професионална хакерска група са софистицираним техникама за извршавање пхисхинга и других облика напада малваре-а мења свој правац. Са јасним циљем да приоритету дају квалитет над количином, злогласна група хакера ТА505 окренула се употребом новог облика злонамерног кода под именом АндроМут. Занимљиво је да се чини да је злонамерни софтвер инспирисан Андромедом. Првобитно дизајнирана од стране друге групе за хаковање, Андромеда је била једна од највећих ботнет мрежа за злонамерни софтвер још 2017. године. Ботнети засновани на Андромедином коду успешно су извршили испоруку корисног терета на неколико сумњивих и рањивих рачунара који раде под оперативним системом Виндовс. Чини се да се АндроМут углавном заснива управо на овом Андромедином коду који указује на могућу сарадњу између хакерских група.
Чини се да је једна од најуспешнијих киберкриминалних група на свету, која себе назива ТА505, променила тактику. У оквиру најновије злонамерне кампање напада и крађе финансијских информација, група је заузета дистрибуцијом новог облика малвера. Уместо да циља велики број појединаца, чини се да група ТА505 као део пивота јури за банкама и другим финансијским услугама. Иначе, тачка уласка или исходишта остаје иста, али изгледа да су циљни циљ и фокус на организованом финансијском сектору. Иначе, финансијским компанијама у САД-у, Уједињеним Арапским Емиратима и Сингапуру саветује се да буду у високој приправности и траже сумњив садржај. Неке од најчешћих тачака напада и даље су службене адресе е-поште.
Група ТА505 користи базу Андромеда за развој и примену АндроМут-а
Чини се да је злогласна група ТА505 повећала свој интензитет током последњих месец дана и наставила са истом жестином. Више не покушава да распореди насумичне таласе напада који покушавају да стекну контролу над машинама жртава. Другим речима, масовна крађа идентитета више није пожељна тактика. Уместо тога, група ТА505 је значајно смањила обим напада и очигледно је прешла на циљаније нападе.
Леп запис од @проофпоинт
истраживачи који разговарају о две различите кампање компаније ТА505 које су користиле АндроМут за преузимање ФлаведАммии. АндроМут је написан на језику Ц ++ и врста је програма за преузимање.
Блог: хттпс://т.цо/вИДцрхКК3з
Узорци: хттпс://т.цо/КМ83СВр0ГА пиц.твиттер.цом/ТНО7ЦОхцл0
- ИнКуест (@ИнКуест) 3. јула 2019
На основу анализе неколико сумњивих е-адреса и других облика електронске комуникације и медија, истраживачи кибернетичке безбедности на Проофпоинт су указали да се чини да група хакера циља запослене у банкама и другим пружаоцима финансијских услуга. Истраживачи су такође открили употребу новог облика софистицираног малвера. Истраживачи га називају АндроМут и открили су да малвер има доста сличности са Андромедом. Дизајнирана и распоређена од стране потпуно различите групе хакера, Андромеда је једна од најуспешније извршених, опасних и једна од највећих мрежа бот-мрежа злонамерног софтвера на свету. До 2017. године Андромеда се плодно ширила и успешно се инсталирала на рањиве рачунаре који раде под оперативним системом Виндовс.
Како група ТА505 извршава напад малвера?
Као и већина напада друге групе ТА505, и нови малвер АндроМут се дистрибуира путем е-маила легитимног изгледа. Пхисхинг напади укључују е-пошту која изгледа и изгледа високо службено и аутентично. Такви имејлови обично тврде да садрже рачуне и друге документе који се односе на банкарство и финансије. Е-адресе које се користе у крађи идентитета често се мукотрпно креирају. Иако неколико е-адреса садржи популарни ПДФ документ, чини се да се пхисхинг е-поруке из групе ТА505 ослањају на Ворд документе.
хттпс://твиттер.цом/рсз619маниа/статус/1146387091598667777
Једном када несумњива жртва отвори увезани Вордов документ, група се ослања на социјални инжењеринг да би наставила напад. Ово може звучати компликовано, али заправо се напад ослања на прилично древну методу „макронаредби“ у Ворд документу. Циљеви су обавештени да су информације „заштићене“ и треба да омогуће уређивање како би видели њихов садржај. То омогућава макронаредбе и омогућава испоруку АндроМут-а на машину. Затим овај злонамерни софтвер дискретно преузима ФлаведАммии. Једном када се инсталирају обе машине, жртвине машине су у потпуности угрожене.
Шта је АндроМут и како функционише вишестепени злонамерни софтвер?
ТА505 тренутно користи АндроМут као прву фазу у двостепеном нападу. Другим речима, АндроМут је први део успешне инфекције и контроле рачунара жртава. Једном успешан у продирању, АндроМут користи инфекцију да дискретно спусти други терет на угрожену машину. Друго корисно оптерећење злонамерног кода назива се ФлаведАммии. У основи, ФлаведАммии је моћан и ефикасан тројански програм за даљински приступ или РАТ.
Агресивни РАТ ФлаведАммии у другој фази је вирулентан злонамерни софтвер који омогућава даљински приступ рачунарима жртава. Нападачи могу стећи администраторске привилегије на даљину. Кад уђу, нападачи имају потпун приступ датотекама, акредитивима и још много тога.
Иначе, подаци сами по себи нису мета. Другим речима, крађа података није примарна намера. Као део пивота, група ТА505 тражи информације које им омогућавају приступ интерној мрежи банака и других финансијских институција.
ТА505 лансира АндроМут малвер хттпс://т.цо/Гв0крЕ1У66 пиц.твиттер.цом/дСтН33ФсУи
- Ц_138 (@ Ц_138) 3. јула 2019
Стручњаци кажу да група ТА505 прати новац, кажу:
Говорећи о активностима хакерске групе, Цхрис Давсон, обавештајна служба о претњама Проофпоинт рекао: „Прелазак А505 на примарну дистрибуцију РАТ-ова и преузимача у много циљанијим кампањама него што су то раније радили код банкарских тројанаца и рансомваре-а сугерише суштинску промену у њиховој тактици. У основи, група се бави инфекцијама вишег квалитета са потенцијалом за дугорочну монетизацију - квалитет над количином. “
Сајбер криминалци у основи дотерују своје нападе и бирају своје циљеве, уместо да предузимају масовне кампање слањем е-поште и надају се да ће ухватити жртве. Они траже податке, и што је још важније, осетљиве информације, да би украли новац. Најновији пивот је у основи само пример хакера који прате тржиште и новац. Стога се промена стратегије не би смела сматрати трајном, приметио је Давсон, „Оно што није јасно је крајњи исход или крај ове промене. А505 у великој мери прати новац, прилагођавајући се светским трендовима и истражујући нове географије и корисни терет како би максимализовао њихов повраћај. “
Ознаке злонамерних програма
