„Pro“ įsilaužimo grupės persijungia į naują kenkėjiškų programų formą naudodamos „AndroMut“, nukreipdamos finansinę informaciją ir bankus naudodamosi socialine inžinerija

Kibernetinio saugumo iliustracija

Atrodo, kad profesionali įsilaužimų grupė, kuriai būdingi sudėtingi metodai vykdyti sukčiavimą ir kitas kenkėjiškų programų atakas, keičia jos kryptį. Turėdamas aiškų tikslą teikti pirmenybę kokybei, o ne kiekybei, liūdnai pagarsėjusi įsilaužėlių TA505 grupė pasisuko naudodama naują kenkėjišką kodą, pavadintą „AndroMut“. Įdomu tai, kad kenkėjišką programą, atrodo, įkvėpė Andromeda. Iš pradžių, kurią sukūrė kita įsilaužimų grupė, „Andromeda“ buvo vienas didžiausių kenkėjiškų programų botaninių tinklų pasaulyje dar 2017 m. Atrodo, kad „AndroMut“ daugiausia remiasi būtent šiuo „Andromeda“ kodu, nurodančiu galimą įsilaužėlių grupių bendradarbiavimą.

Panašu, kad viena sėkmingiausių pasaulio kibernetinių nusikaltėlių grupių, pasivadinusi TA505, pakeitė jos taktiką. Kaip naujausios kenkėjiškos atakos ir finansinės informacijos vagystės kampanijos dalis, grupė užsiėmusi naujos formos kenkėjiškų programų platinimu. Užuot nukreipta į daugybę asmenų, kaip dalis sukimosi, TA505 grupė, atrodo, eina paskui bankus ir kitas finansines paslaugas. Beje, pradinis ar kilmės taškas išlieka tas pats, tačiau numatomas tikslas ir dėmesys sutelktas į organizuotą finansų sektorių. Beje, JAV, Jungtinių Arabų Emyratų ir Singapūro finansų bendrovėms rekomenduojama būti budriems ir ieškoti įtartino turinio. Keletas dažniausiai pasitaikančių atakos taškų tebėra oficialiai atrodantys el. Laiškai.

TA505 grupė naudoja „Andromeda Base“ kurdama ir diegdama „AndroMut“

Liūdnai pagarsėjusi TA505 grupė per pastarąjį mėnesį padidino savo intensyvumą ir tęsė tą patį žiaurumą. Nebebandoma dislokuoti atsitiktinių išpuolių bangų, bandančių įgyti aukų mašinų kontrolę. Kitaip tariant, masinio sukčiavimo el. Laiškai nebėra pageidaujama taktika. Vietoj to, TA505 grupė žymiai sumažino atakų apimtį ir akivaizdžiai perėjo prie tikslingesnių atakų.

Gražus užrašymas iš @proofpoint
tyrinėtojai aptarė dvi skirtingas TA505 kampanijas, kurios naudojo „AndroMut“ atsisiųsti „FlawedAmmyy“. „AndroMut“ yra parašytas C ++ ir yra atsisiuntimo būdas.

Tinklaraštis: https://t.co/vIDcrhKQ3z

buferio kodas

Pavyzdžiai: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0

- „InQuest“ (@InQuest) 2019 m. Liepos 3 d

Remiantis kelių įtariamų elektroninių laiškų ir kitų elektroninių ryšių bei žiniasklaidos formų analize, kibernetinio saugumo tyrėjai Patikrinimo taškas nurodė, kad įsilaužėlių grupė, atrodo, yra nukreipta į bankų darbuotojus ir kitus finansinių paslaugų teikėjus. Tyrėjai taip pat atskleidė naujos formos sudėtingos kenkėjiškos programos naudojimą. Tyrėjai tai vadina „AndroMut“ ir atrado, kad kenkėjiška programa turi nemažai panašumų su „Andromeda“. Sukurta ir įdiegta visiškai kitokių įsilaužėlių grupių, „Andromeda“ buvo vienas sėkmingiausiai vykdomų, pavojingiausių ir didžiausių kenkėjiškų programų robotų tinklų tinklas pasaulyje. Iki 2017 m. „Andromeda“ labai plito ir sėkmingai įsidiegė pažeidžiamuose kompiuteriuose, kuriuose veikia „Windows“ operacinė sistema.

Kaip TA505 grupė vykdo kenkėjišką ataką?

Kaip ir dauguma kitų TA505 grupės atakų, naujoji „AndroMut“ kenkėjiška programa taip pat platinama teisėtai atrodančiais el. Laiškais. Sukčiavimo atakos apima el. Laiškus, kurie atrodo ir jaučiasi labai oficialūs ir autentiški. Tokiuose el. Laiškuose paprastai nurodoma, kad yra sąskaitos faktūros ir kiti dokumentai, kurie tariamai susiję su bankininkyste ir finansais. Elektroniniai laiškai, naudojami sukčiaujant, dažnai yra kruopščiai kuriami. Nors keliuose el. Laiškuose yra populiarus PDF dokumentas, atrodo, kad sukčiavimo el. Laiškai iš TA505 grupės priklauso nuo „Word“ dokumentų.

https://twitter.com/rsz619mania/status/1146387091598667777

Kai nieko neįtarianti auka atidaro nėriniuotą „Word“ dokumentą, grupė remiasi socialine inžinerija tęsti ataką. Tai gali skambėti komplikuotai, tačiau iš tikrųjų ataka remiasi gana senoviniu „makrokomandų“ metodu „Word“ dokumente. Tikslai informuojami, kad informacija yra „apsaugota“, ir jie turi įgalinti redagavimą, kad pamatytų jos turinį. Tai atlikę įgalinsite makrokomandas ir galėsite „AndroMut“ pristatyti į mašiną. Tada ši kenkėjiška programa diskretiškai atsisiunčia „FlawedAmmyy“. Sumontavus abu, nukentėjusiųjų mašinos yra visiškai pažeistos.

Kas yra „AndroMut“ ir kaip veikia daugiapakopė kenkėjiška programa?

TA505 šiuo metu naudoja „AndroMut“ kaip pirmąjį dviejų etapų atakos etapą. Kitaip tariant, „AndroMut“ yra pirmoji sėkmingos infekcijos ir aukų kompiuterių kontrolės dalis. Sėkmingai įsiskverbęs, „AndroMut“ naudoja infekciją, kad atsargiai numestų antrą naudingą krovinį ant pažeistos mašinos. Antroji kenksmingo kodo naudingoji apkrova vadinama „FlawedAmmyy“. Iš esmės „FlawedAmmyy“ yra galingas ir efektyvus nuotolinės prieigos Trojanas arba RAT.

Agresyvi antrojo etapo „RAT FlawedAmmyy“ yra kenkėjiška programa, suteikianti nuotolinę prieigą prie aukų kompiuterių. Užpuolikai gali įgyti nuotolines administravimo teises. Užėję užpuolikai turi visišką prieigą prie failų, prisijungimo duomenų ir dar daugiau.

Beje, patys duomenys nėra tikslai. Kitaip tariant, duomenų vogimas nėra pagrindinis tikslas. Kaip pagrindinę dalį, TA505 grupė yra po informacijos, suteikiančios jiems prieigą prie vidinio bankų ir kitų finansinių institucijų tinklo.

TA505 paleidžia kenkėjišką programą „AndroMut“ https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 2019 m. Liepos 3 d

TA505 grupė seka pinigus, sako ekspertai:

Kalbėdamas apie įsilaužėlių grupės veiklą, Chrisas Dawsonas vadovauja grėsmių žvalgybai Patikrinimo taškas sakė: „A505 žingsnis pirmiausia platinti RAT ir atsisiuntėjus daug tikslingesnėse kampanijose, nei jie anksčiau dirbo bankininkystės Trojos arkliuose ir išpirkos programose, rodo esminį jų taktikos pakeitimą. Iš esmės grupė išgyvena aukštesnės kokybės infekcijas, galinčias užsitikrinti ilgesnį laiką - kokybė, o ne kiekybė “.

Kibernetiniai nusikaltėliai iš esmės patobulina savo išpuolius ir pasirenka savo taikinius, užuot rengę didžiules el. Pašto kampanijas ir tikėdamiesi patraukti aukas. Jie vogia pinigus, o dar svarbiau - neskelbtiną informaciją. Naujausias posūkis iš esmės yra tik įsilaužėlių, sekančių rinką ir pinigus, pavyzdys. Taigi strategijos pakeitimas neturėtų būti laikomas nuolatiniu, pastebėjo Dawsonas: „Kas nėra aišku, yra galutinis šio pasikeitimo rezultatas arba galutinis žaidimas. A505 labai seka pinigus, prisitaiko prie pasaulinių tendencijų ir tyrinėja naujas geografines vietas ir naudingąsias apkrovas, kad padidintų jų grąžą “.