Kyberturvallisuuden kuva
Ammattimainen hakkerointiryhmä, jolla on edistyneitä tekniikoita tietojenkalastelun ja muun tyyppisten haittaohjelmien toteuttamiseksi, näyttää muuttavan sen suuntaa. Surullisen TA505-hakkeriryhmä on selkeästi pyrkinyt asettamaan laadun etusijalle määrälle, ja se on kääntynyt uudella haittakoodimuodolla nimeltä AndroMut. Mielenkiintoista on, että haittaohjelma näyttää olevan Andromedan innoittama. Alun perin toisen hakkerointiryhmän suunnittelema Andromeda oli yksi maailman suurimmista haittaohjelmien botnet-verkkoista vasta vuonna 2017. Andromeda-koodiin perustuvat botnet-verkot suorittivat onnistuneesti hyötykuormituksen useille epäilyttäville ja haavoittuville tietokoneille, joissa on Windows-käyttöjärjestelmä. AndroMut näyttää perustuvan suurelta osin juuri tähän Andromeda-koodiin, joka viittaa hakkeriryhmien mahdolliseen yhteistyöhön.
Yksi maailman menestyneimmistä tietoverkkorikollisryhmistä, joka kutsuu itseään TA505: ksi, näyttää muuttaneen sen taktiikkaa. Osana viimeisintä taloudellista tietoa hyökkäävää ja varastavaa haitallista kampanjaa ryhmä on kiireinen uuden haittaohjelman levittämisessä. Sen sijaan, että kohdistettaisiin suureen määrään yksilöitä, TA505-ryhmä näyttää olevan pivot-osiossa pankkien ja muiden rahoituspalvelujen perässä. Muuten alkupiste tai lähtöpaikka pysyy samana, mutta suunniteltu kohde ja painopiste näyttävät olevan järjestäytyneelle finanssisektorille. USA: n, Yhdistyneiden arabiemiirikuntien ja Singaporen rahoitusyhtiöitä kehotetaan olemaan erittäin valppaina ja etsimään epäilyttävää sisältöä. Jotkut hyökkäyksen yleisimmistä kohdista ovat edelleen virallisen näköisiä sähköposteja.
TA505 Group käyttää Andromeda Base -ohjelmaa AndroMutin kehittämiseen ja käyttöönottoon
Surullisen TA505-ryhmä näyttää kasvaneen intensiteettinsä viimeisen kuukauden aikana ja on jatkanut samalla raivolla. Se ei enää yritä sijoittaa satunnaisia hyökkäysaaltoja, jotka yrittävät saada hallintaansa uhrien koneita. Toisin sanoen joukkopetosähköpostit eivät enää ole suositeltu taktiikka. Sen sijaan TA505-ryhmä on vähentänyt merkittävästi hyökkäysten määrää ja siirtynyt selvästi kohdennetumpiin hyökkäyksiin.
Hieno kirjoitus @turvakohta
tutkijat keskustelivat TA505: n kahdesta erillisestä kampanjasta, jotka käyttivät AndroMutia lataamaan FlawedAmmyy. AndroMut on kirjoitettu C ++: lla ja on eräänlainen latausohjelma.
Blogi: https://t.co/vIDcrhKQ3z
Näytteet: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3. heinäkuuta 2019
Kyberturvallisuuden tutkijat osoitteessa. Perustuvat useiden epäiltyjen sähköpostien ja muun sähköisen viestinnän ja median muotoihin Proofpoint ovat ilmoittaneet, että hakkeriryhmä näyttää kohdistavan pankkien ja muiden rahoituspalvelujen tarjoajia. Tutkijat ovat myös paljastaneet uudenlaisen hienostuneen haittaohjelman käytön. Tutkijat kutsuvat sitä AndroMutiksi ja ovat huomanneet, että haittaohjelmalla on melko paljon yhtäläisyyksiä Andromedan kanssa. Täysin toisenlaisen hakkereiden suunnittelema ja käyttöönottama Andromeda on ollut yksi menestyneimmin toteutetuista, vaarallisimmista ja yksi suurimmista haittaohjelmien botnettiverkostoista maailmassa. Vuoteen 2017 asti Andromeda leviää runsaasti ja asensi itsensä haavoittuville tietokoneille, joissa on Windows-käyttöjärjestelmä.
Kuinka TA505-ryhmä suorittaa haittaohjelmien hyökkäyksen?
Kuten useimmat muut TA505-ryhmän hyökkäykset, myös uusi AndroMut-haittaohjelma jaetaan laillisen näköisillä sähköposteilla. Tietojenkalasteluhyökkäykset sisältävät sähköposteja, jotka näyttävät ja tuntuvat erittäin virallisilta ja aitoilta. Tällaiset sähköpostit väittävät yleensä sisältävänsä laskuja ja muita asiakirjoja, joiden oletetaan liittyvän pankkitoimintaan ja rahoitukseen. Tietojenkalastelussa käytetyt sähköpostit luodaan usein huolella. Vaikka useat sähköpostit sisältävät suositun PDF-asiakirjan, TA505-ryhmän tietojenkalasteluviestit näyttävät luottavan Word-asiakirjoihin.
https://twitter.com/rsz619mania/status/1146387091598667777
Kun epäilemätön uhri avaa nauhoitetun Word-asiakirjan, ryhmä luottaa sosiaaliseen suunnitteluun jatkaakseen hyökkäystä. Tämä saattaa kuulostaa monimutkaiselta, mutta itse asiassa hyökkäys perustuu melko vanhaan 'makrojen' menetelmään Word-asiakirjassa. Kohteille ilmoitetaan, että tiedot on 'suojattu', ja heidän on sallittava muokkaus nähdäksesi sen sisällön. Tällöin makrot otetaan käyttöön ja AndroMut voidaan toimittaa koneelle. Tämä haittaohjelma lataa sitten huomaamattomasti FlawedAmmyy. Kun molemmat on asennettu, uhrien koneet ovat täysin vaarantuneet.
Mikä on AndroMut ja miten monivaiheinen haittaohjelma toimii?
TA505 käyttää tällä hetkellä AndroMutia kaksivaiheisen hyökkäyksen ensimmäisenä vaiheena. Toisin sanoen AndroMut on ensimmäinen osa onnistunutta infektiota ja uhrien tietokoneiden hallintaa. Kun tunkeutuminen onnistuu, AndroMut käyttää infektiota pudottaen toisen hyötykuorman huomaamattomasti vaarantuneeseen koneeseen. Haitallisen koodin toinen hyötykuorma on FlawedAmmyy. Pohjimmiltaan FlawedAmmyy on tehokas ja tehokas etäkäyttöinen troijalainen tai RAT.
Aggressiivinen toisen vaiheen RAT FlawedAmmyy on virulentti haittaohjelma, joka antaa etäyhteyden uhrien tietokoneille. Hyökkääjät voivat saada etähallintaoikeudet. Sisällä hyökkääjillä on täydellinen pääsy tiedostoihin, tunnistetietoihin ja muuhun.
Muuten tiedot eivät sinänsä ole kohde. Toisin sanoen tietojen varastaminen ei ole ensisijainen tarkoitus. Osana pivotia TA505-ryhmä seuraa tietoja, jotka antavat heille pääsyn pankkien ja muiden rahoituslaitosten sisäiseen verkkoon.
TA505 tuo markkinoille AndroMut-haittaohjelman https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3. heinäkuuta 2019
TA505-ryhmä seuraa rahaa, sano asiantuntijat:
Puhuessaan hakkerointiryhmän toiminnasta Chris Dawson, uhkatiedustelut johtavat Proofpoint sanoi: 'A505: n siirtyminen ensisijaisesti RAT-tiedostojen ja latauslaitteiden jakamiseen paljon kohdennetuimmissa kampanjoissa kuin he olivat aiemmin käyttäneet pankkitroijalaisten ja ransomware-ohjelmien parissa, viittaa heidän taktiikkansa perinpohjaiseen muutokseen. Pohjimmiltaan ryhmä pyrkii korkealaatuisempien infektioiden jälkeen, ja pitkällä aikavälillä kaupallistaminen on mahdollista - laatua enemmän kuin määrää. '
Verkkorikolliset hienosäätävät hyökkäyksiään ja valitsevat kohteet sen sijaan, että tekisivät massiivisia sähköpostikampanjoita ja toivoisivat tarttua uhreihin. He varastavat rahaa tietojen ja ennen kaikkea arkaluontoisten tietojen jälkeen. Uusin kääntöpiste on pohjimmiltaan vain esimerkki hakkereista, jotka seuraavat markkinoita ja rahaa. Siksi strategian muutosta ei pitäisi pitää pysyvänä, totesi Dawson: 'Mikä ei ole selvää, on tämän muutoksen lopullinen tulos tai loppupeli. A505 seuraa hyvin paljon rahaa, sopeutuu maailmanlaajuisiin trendeihin ja tutkii uusia maantieteellisiä alueita ja hyötykuormia maksimoidakseen niiden tuoton. '
Tunnisteet haittaohjelma
