Kybernetická bezpečnosť ilustrácia
Zdá sa, že profesionálna hackerská skupina so sofistikovanými technikami na vykonávanie phishingu a iných foriem útokov škodlivého softvéru mení smer. S jasným cieľom uprednostniť kvalitu pred kvantitou sa nechvalne známa skupina hackerov TA505 zamerala na novú formu škodlivého kódu s názvom AndroMut. Je zaujímavé, že malware je inšpirovaný Andromedou. Andromeda, ktorú pôvodne navrhla iná hackerská skupina, bola jedným z najväčších botnetov škodlivého softvéru na svete už v roku 2017. Botnety založené na kóde Andromeda úspešne vykonali doručenie užitočného zaťaženia na niekoľkých podozrivých a zraniteľných počítačoch s operačným systémom Windows. Zdá sa, že program AndroMut je do veľkej miery založený práve na tomto kóde Andromeda, čo naznačuje možnú spoluprácu medzi hackerskými skupinami.
Zdá sa, že jedna z najúspešnejších kybernetických zločineckých skupín na svete, ktorá si hovorí TA505, zmenila taktiku. V rámci poslednej škodlivej kampane zameranej na napadnutie a krádež finančných informácií je skupina zaneprázdnená distribúciou novej formy škodlivého softvéru. Namiesto zamerania na veľký počet jednotlivcov sa v rámci pivotnej skupiny zdá sa skupina TA505 zameraná na banky a ďalšie finančné služby. Mimochodom, miesto vstupu alebo pôvodu zostáva nezmenené, zdá sa však, že zamýšľaným cieľom a zameraním je zameraný na organizovaný finančný sektor. Finančným spoločnostiam v USA, Spojených arabských emirátoch a Singapure sa mimochodom odporúča, aby boli v strehu a hľadali akýkoľvek podozrivý obsah. Niektoré z najbežnejších bodov útoku zostávajú e-maily s oficiálnym vzhľadom.
Skupina TA505 využíva základňu Andromeda na vývoj a nasadenie systému AndroMut
Neslávne známa skupina TA505 zrejme za posledný mesiac zvýšila svoju intenzitu a pokračovala s rovnakou dravosťou. Už sa nepokúša nasadiť náhodné vlny útokov, ktoré sa pokúšajú získať kontrolu nad strojmi obetí. Inými slovami, hromadné phishingové e-maily už nie sú preferovanou taktikou. Namiesto toho skupina TA505 výrazne znížila objem útokov a jednoznačne prešla na cielenejšie útoky.
Pekný zápis od @proofpoint
vedci diskutujúci o dvoch odlišných kampaniach TA505, ktoré pomocou AndroMut stiahli FlawedAmmyy. AndroMut je napísaný v jazyku C ++ a je typom sťahovača.
Blog: https://t.co/vIDcrhKQ3z
Vzorky: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3. júla 2019
Na základe analýzy niekoľkých podozrivých e-mailov a iných foriem elektronickej komunikácie a médií, uskutočnili výskumníci v oblasti kybernetickej bezpečnosti v spoločnosti Dôkaz naznačili, že sa zdá, že skupina hackerov sa zameriava na zamestnancov bánk a iných poskytovateľov finančných služieb. Vedci tiež odhalili použitie novej formy sofistikovaného malvéru. Vedci to nazývajú AndroMut a zistili, že malware má pomerne veľa podobností s Andromedou. Andromeda, ktorú navrhla a nasadila úplne iná skupina hackerov, bola jednou z najúspešnejšie vykonaných, nebezpečných a jednou z najväčších sietí botnetov škodlivého softvéru na svete. Až do roku 2017 sa Andromeda plodne rozširovala a úspešne sa inštalovala na zraniteľné počítače s operačným systémom Windows.
Ako skupina TA505 vykonáva malwarový útok?
Rovnako ako väčšina útokov ostatných skupín TA505, aj nový malware AndroMut je distribuovaný prostredníctvom legitímne vyzerajúcich e-mailov. Phishingové útoky zahŕňajú e-maily, ktoré vyzerajú a pôsobia vysoko úradne a autenticky. Takéto e-maily zvyčajne obsahujú faktúry a iné dokumenty, ktoré sa údajne týkajú bankovníctva a financií. E-maily používané pri phishingu sú často vytvárané veľmi starostlivo. Aj keď niekoľko e-mailov obsahuje populárny dokument PDF, zdá sa, že phishingové e-maily zo skupiny TA505 sa spoliehajú na dokumenty Wordu.
https://twitter.com/rsz619mania/status/1146387091598667777
Len čo nič netušiaca obeť otvorí zašnurovaný dokument Wordu, spolieha sa skupina na pokračovanie útoku na sociálne inžinierstvo. Môže to znieť komplikovane, ale v skutočnosti sa útok spolieha na pomerne starodávnu metódu „makier“ v dokumente Word. Ciele sú informované, že informácie sú „chránené“, a aby mohli vidieť ich obsah, musia povoliť úpravy. Takto umožníte makrá a umožníte doručenie AndroMutu do stroja. Tento malware potom diskrétne stiahne FlawedAmmyy. Po nainštalovaní oboch sú stroje obetí úplne ohrozené.
Čo je AndroMut a ako funguje viacstupňový malware?
TA505 v súčasnosti používa AndroMut ako prvý stupeň v dvojstupňovom útoku. Inými slovami, AndroMut je prvou časťou úspešnej infekcie a kontroly počítačov obetí. Akonáhle je penetrácia úspešná, AndroMut pomocou infekcie nenápadne zhodí druhé užitočné zaťaženie na napadnutý počítač. Druhé užitočné množstvo škodlivého kódu sa nazýva FlawedAmmyy. FlawedAmmyy je v podstate výkonný a efektívny trójsky kôň alebo RAT so vzdialeným prístupom.
Agresívny druhý stupeň RAT FlawedAmmyy je virulentný malware, ktorý umožňuje vzdialený prístup k počítačom obetí. Útočníci môžu získať oprávnenie vzdialeného správcu. Keď sa dostanú dovnútra, útočníci majú úplný prístup k súborom, povereniam a ďalším.
Mimochodom, údaje samy osebe nie sú cieľom. Inými slovami, kradnutie údajov nie je primárnym zámerom. V rámci pivotnej skupiny sa skupina TA505 riadi informáciami, ktoré im umožňujú prístup do internej siete bánk a iných finančných inštitúcií.
TA505 uvádza na trh malware AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3. júla 2019
Skupina TA505 sleduje peniaze, hovoria odborníci:
Keď už hovoríme o aktivitách hackerskej skupiny Chris Dawson, spravodajstvo o hrozbách vedie o Dôkaz povedal: „Krok A505 k primárnej distribúcii RAT a sťahovačov v oveľa adresnejších kampaniach, ako predtým využívali pri bankových trójskych koňoch a ransomware, naznačuje zásadný posun v ich taktike. Skupina v podstate ide po kvalitnejších infekciách s potenciálom dlhodobejšieho speňaženia - kvalita pred kvantitou. “
Kybernetickí zločinci v podstate dolaďujú svoje útoky a namiesto rozsiahlych e-mailových kampaní vyberajú svoje ciele a dúfajú, že obete zachytia. Snaží sa po údajoch, a čo je dôležitejšie, citlivých informáciách, aby ukradli peniaze. Najnovší pivot je v podstate iba príkladom hackerov sledujúcich trh a peniaze. Posun v stratégii by sa preto nemal považovať za trvalý, poznamenal Dawson: „Nie je jasné, aký je konečný výsledok alebo koniec tejto zmeny. A505 veľmi sleduje peniaze, prispôsobuje sa globálnym trendom a skúma nové geografické oblasti a užitočné zaťaženie, aby maximalizovala ich návratnosť. “
Značky malvér
![Ako opraviť program Quicken nemôže dokončiť vašu požiadavku. [OL-221-A]](https://jf-balio.pt/img/how-tos/99/how-fix-quicken-is-unable-complete-your-request.jpg)
