Ilustracija kibernetske varnosti
Zdi se, da poklicna hekerska skupina z dovršenimi tehnikami za izvajanje lažnega predstavljanja in drugih oblik napadov zlonamerne programske opreme spreminja svojo smer. Z jasnim ciljem, da prednost dajo kakovosti pred količino, se je zloglasna skupina hekerjev TA505 usmerila v novo obliko zlonamerne kode z imenom AndroMut. Zanimivo je, da se zdi, da je zlonamerno programsko opremo navdihnila Andromeda. Andromeda, ki jo je prvotno zasnovala druga vdiralna skupina, je bila ena največjih bot-mrež na svetu, šele leta 2017. Botneti, ki temeljijo na kodi Andromeda, so uspešno izvedli dostavo koristnega tovora na več sumljivih in ranljivih računalnikih z operacijskim sistemom Windows. Zdi se, da AndroMut v veliki meri temelji na prav tej kodi Andromede, ki kaže na morebitno sodelovanje med hekerskimi skupinami.
Zdi se, da je ena najuspešnejših skupin za kiber kriminalce na svetu, ki se imenujejo TA505, spremenila svojo taktiko. V okviru zadnje zlonamerne kampanje napada in kraje finančnih informacij je skupina zasedena z distribucijo nove oblike zlonamerne programske opreme. Zdi se, da skupina TA505 namesto, da bi ciljala na veliko število posameznikov, usmerjena v banke in druge finančne storitve. Mimogrede, točka vstopa ali izhoda ostaja enaka, vendar se zdi, da sta predvideni cilj in poudarek na organiziranem finančnem sektorju. Mimogrede, finančnim družbam v ZDA, Združenih arabskih emiratih in Singapurju svetujemo, naj bodo v pripravljenosti in iščejo sumljivo vsebino. Nekatere najpogostejše točke napada ostajajo uradna e-poštna sporočila.
Skupina TA505 uporablja Andromedovo bazo za razvoj in uvajanje AndroMuta
Zdi se, da je zloglasna skupina TA505 v zadnjem mesecu povečala svojo intenzivnost in nadaljevala z enako ostrostjo. Ne poskuša več uporabljati naključnih valov napadov, s katerimi želi pridobiti nadzor nad napravami žrtev. Z drugimi besedami, množična elektronska pošta z lažnim predstavljanjem ni več prednostna taktika. Namesto tega je skupina TA505 znatno zmanjšala obseg napadov in očitno prešla na bolj ciljno usmerjene napade.
Lep zapis od @proofpoint
raziskovalci, ki so razpravljali o dveh ločenih kampanjah TA505, ki sta uporabili AndroMut za prenos FlawedAmmyy. AndroMut je napisan v jeziku C ++ in je vrsta programa za prenos.
Spletni dnevnik: https://t.co/vIDcrhKQ3z
Vzorci: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3. julij 2019
Na podlagi analize več domnevnih e-poštnih sporočil in drugih oblik elektronske komunikacije in medijev so raziskovalci kibernetske varnosti na Proofpoint so navedli, da se zdi, da skupina hekerjev cilja na zaposlene v bankah in drugih ponudnikih finančnih storitev. Raziskovalci so odkrili tudi uporabo nove oblike dovršene zlonamerne programske opreme. Raziskovalci ga imenujejo AndroMut in odkrili so, da ima zlonamerna programska oprema kar nekaj podobnosti z Andromedo. Andromeda, ki jo je zasnovala in razvila povsem druga skupina hekerjev, je bila ena najuspešneje izvedenih, nevarnih in ena največjih mrež botnetov zlonamerne programske opreme na svetu. Do leta 2017 se je Andromeda plodno širila in se uspešno namestila na ranljive osebne računalnike z operacijskim sistemom Windows.
Kako skupina TA505 izvaja napad zlonamerne programske opreme?
Tako kot večina napadov druge skupine TA505 se tudi nova zlonamerna programska oprema AndroMut distribuira prek zakonitih e-poštnih sporočil. Lažni napadi vključujejo e-poštna sporočila, ki so videti zelo uradna in verodostojna. Takšna e-poštna sporočila običajno vsebujejo račune in druge dokumente, ki naj bi bili povezani z bančništvom in financami. E-poštna sporočila, ki se uporabljajo pri lažnem predstavljanju, so pogosto skrbno ustvarjena. Čeprav več e-poštnih sporočil vsebuje priljubljeni dokument PDF, se zdi, da se lažna e-poštna sporočila iz skupine TA505 zanašajo na Wordove dokumente.
https://twitter.com/rsz619mania/status/1146387091598667777
Ko nič hudega sluteča žrtev odpre vezan Wordov dokument, se skupina zanese na socialni inženiring. Morda se sliši zapleteno, toda pravzaprav napad temelji na precej starodavni metodi 'makrov' v dokumentu Word. Cilji so obveščeni, da so informacije 'zaščitene' in jim je treba omogočiti urejanje, da si ogledajo njihovo vsebino. S tem omogočite makre in omogočite dostavo AndroMut v stroj. Nato ta zlonamerna programska oprema diskretno prenese FlawedAmmyy. Ko sta obe nameščeni, so stroji žrtev popolnoma ogroženi.
Kaj je AndroMut in kako deluje večstopenjska zlonamerna programska oprema?
TA505 trenutno uporablja AndroMut kot prvo stopnjo dvostopenjskega napada. Z drugimi besedami, AndroMut je prvi del uspešne okužbe in nadzora nad računalniki žrtev. Po uspešnem prodiranju AndroMut z okužbo diskretno spusti drugi tovor na ogroženi stroj. Drugi tovor zlonamerne kode se imenuje FlawedAmmyy. V bistvu je FlawedAmmyy močan in učinkovit trojanski program za oddaljeni dostop ali RAT.
Agresivni RAT FlawedAmmyy v drugi fazi je virulentna zlonamerna programska oprema, ki omogoča oddaljen dostop do računalnikov žrtev. Napadalci lahko pridobijo oddaljene skrbniške pravice. Ko napadalec dobi notranjost, ima popoln dostop do datotek, poverilnic in še več.
Mimogrede, podatki sami po sebi niso tarča. Z drugimi besedami, kraja podatkov ni glavni namen. Kot del pivota skupina TA505 išče informacije, ki jim omogočajo dostop do notranje mreže bank in drugih finančnih institucij.
TA505 lansira zlonamerno programsko opremo AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3. julij 2019
Strokovnjaki pravijo, da skupina TA505 sledi denarju,
Ko govorimo o dejavnostih hekerske skupine, je Chris Dawson, vodja obveščevalne službe o grožnjah Proofpoint dejal: 'Prehod A505 na primarno distribucijo RAT-ov in prenosnikov v veliko bolj usmerjenih kampanjah, kot so jih prej uporabljali pri bančnih trojanskih programih in ransomware, kaže na temeljni premik v njihovi taktiki. V bistvu skupina preganja bolj kakovostne okužbe z možnostjo dolgoročnejše monetizacije - kakovost nad količino. '
Kiber kriminalci v bistvu natančno prilagajajo svoje napade in izbirajo svoje cilje, namesto da bi se lotili množičnih e-poštnih kampanj in upali, da bi zaskočili žrtve. Za krajo denarja iščejo podatke in, kar je še pomembneje, občutljive podatke. Najnovejši pivot je v bistvu le primer hekerjev, ki sledijo trgu in denarju. Zato premika v strategiji ne bi smeli šteti za trajnega, je opazil Dawson: 'Kar ni jasno, je končni rezultat ali končna igra tega premika. A505 zelo sledi denarju, se prilagaja svetovnim trendom in raziskuje nove zemljepisne tovore in tovor, da poveča svoj donos. '
Oznake zlonamerne programske opreme
