Küberturvalisuse illustratsioon
Tundub, et professionaalne häkkerühm, kellel on keerukad tehnikad andmepüügi ja muude pahavara rünnakute teostamiseks, muudab selle suunda. Selge eesmärgiga seada prioriteediks kvaliteet kvantiteedi asemel, on kurikuulus häkkerite grupp TA505 pöördunud uue pahatahtliku koodi vormi AndroMut abil. Huvitav on see, et pahavara näib olevat inspireeritud Andromedast. Algselt teise häkkimisgrupi kujundatud Andromeda oli hiljuti 2017. aastal üks suurimaid pahavara robotivõrke maailmas. Andromeda koodil põhinevad botnetid viisid oma kasuliku koormuse edukalt ellu mitmetes kahtlustatavates ja haavatavates arvutites, milles töötab Windowsi operatsioonisüsteem. Tundub, et AndroMut põhineb suuresti just sellel Andromeda koodil, mis näitab võimalikku koostööd häkkerite rühmade vahel.
Paistab, et üks maailma edukamaid küberkurjategijate rühmitusi, kes nimetavad end TA505-ks, on selle taktikat muutnud. Viimase finantsteabe ründamise ja varastamise pahatahtliku kampaania raames on grupp hõivatud uut tüüpi pahavara levitamisega. Selle asemel, et sihtida suurt hulka üksikisikuid, näib TA505 grupp pivoti osana pankade ja muude finantsteenuste taga. Muide, sisenemis- või alguspunkt jääb samaks, kuid kavandatud eesmärk ja fookus näib olevat organiseeritud finantssektoril. Muide, USA, Araabia Ühendemiraatide ja Singapuri finantsettevõtetel soovitatakse olla valvas ja otsida kahtlast sisu. Rünnaku kõige levinumad punktid on endiselt ametliku välimusega meilid.
TA505 Group kasutab AndroMuti arendamiseks ja juurutamiseks Andromeda Base'i
Kurikuulus TA505 rühm näib viimase kuu jooksul intensiivsust suurendanud ja jätkanud sama raevukalt. See ei ürita enam juhuslikke rünnakulaineid rakendada, mis püüaksid ohvrite masinate üle kontrolli saavutada. Teisisõnu pole masspüügimeilid enam eelistatud taktikad. Selle asemel on grupp TA505 rünnakute mahtu oluliselt vähendanud ja on selgelt üle läinud sihipärasematele rünnakutele.
Kena kirjutus üles @proofpoint
teadlased arutasid TA505 kahte erinevat kampaaniat, mis kasutasid AndroMutit FlawedAmmyy allalaadimiseks. AndroMut on kirjutatud C ++ keeles ja on teatud tüüpi allalaadija.
Blogi: https://t.co/vIDcrhKQ3z
Proovid: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3. juuli 2019
Tuginedes mitme kahtlustatava e-kirja ning muude elektroonilise side ja meedia vormide analüüsile, küberturvalisuse uurijad aadressil Proofpoint on näidanud, et häkkerite rühm näib olevat suunatud pankade ja teiste finantsteenuste pakkujate töötajatele. Teadlased on avastanud ka keeruka pahavara uue vormi kasutamise. Teadlased kutsuvad seda AndroMutiks ja avastasid, et pahavaral on Andromedaga üsna palju sarnasusi. Täiesti erineva häkkerite rühma loodud ja juurutatud Andromeda on olnud üks edukamalt hukatud, ohtlikumaid ja üks suurimaid pahavara robotvõrkude võrke maailmas. Kuni 2017. aastani levis Andromeda tohutult ja installis ennast edukalt Windowsi operatsioonisüsteemi kasutavatele haavatavatele arvutitele.
Kuidas toimub TA505 grupi pahavararünnak?
Sarnaselt enamiku teiste TA505 rühma rünnakutega levitatakse ka uut AndroMuti pahavara legitiimse välimusega meilide kaudu. Andmepüügirünnakud hõlmavad e-kirju, mis näevad välja ja tunduvad väga ametlikud ja autentsed. Sellised e-kirjad väidavad tavaliselt sisaldavat arveid ja muid dokumente, mis väidetavalt on seotud panga ja rahandusega. Andmepüügis kasutatavad e-kirjad luuakse sageli hoolikalt. Ehkki mitu e-kirja sisaldavad populaarset PDF-dokumenti, näivad TA505 rühma andmepüügimeilid tuginevat Wordi dokumentidele.
https://twitter.com/rsz619mania/status/1146387091598667777
Kui pahaaimamatu ohver avab nööriga Wordi dokumendi, loodab rühm rünnaku jätkamiseks sotsiaalsele insenerile. See võib tunduda keeruline, kuid tegelikult tugineb rünnak Wordi dokumendis üsna iidsele 'makrode' meetodile. Sihtmärkidele teatatakse, et teave on „kaitstud“ ja neil on vaja selle sisu nägemiseks redigeerimine võimaldada. See võimaldab makrod ja võimaldab AndroMuti masinasse toimetada. Seejärel laadib see pahavara diskreetselt alla FlawedAmmyy. Kui mõlemad on installitud, on ohvrite masinad täielikult ohustatud.
Mis on AndroMut ja kuidas mitmeastmeline pahavara töötab?
TA505 kasutab praegu kaheastmelise rünnaku esimese etapina AndroMutit. Teisisõnu on AndroMut ohvrite arvutite eduka nakatumise ja kontrolli esimene osa. Kui tungimine on õnnestunud, kasutab AndroMut nakkust, et varjatud masinale varjata teist kasulikku koormust. Pahatahtliku koodi teist kasulikku koormust nimetatakse FlawedAmmyy. Põhimõtteliselt on FlawedAmmyy võimas ja tõhus kaugjuurdepääsu Trooja või RAT.
Agressiivne teise astme RAT FlawedAmmyy on virulentne pahavara, mis annab ohvrite arvutitele kaugjuurdepääsu. Ründajad võivad saada kaughalduseõigusi. Ründajatel on sisenedes täielik juurdepääs failidele, mandaatidele ja muule.
Muide, andmed iseenesest ei ole sihtmärk. Teisisõnu pole andmete varastamine esmane eesmärk. Pöördosa osana on grupp TA505 pärast teavet, mis annab neile juurdepääsu pankade ja teiste finantsasutuste sisevõrgule.
TA505 toob turule AndroMuti pahavara https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3. juuli 2019
TA505 Grupp jälgib raha, ütlevad eksperdid:
Häkkimisrühma tegevusest rääkides juhib Chris Dawson ohu luure Proofpoint ütles: 'A505 liikumine peamiselt RAT-ide ja allalaadijate levitamisse palju sihipärasemates kampaaniates, kui nad varem töötasid troojalaste ja lunavara panganduses, viitab nende taktika põhimõttelisele muutusele. Põhimõtteliselt jätkab grupp kõrgema kvaliteediga nakkusi, millel on potentsiaal pikemaajaliseks monetiseerimiseks - kvaliteet üle kvantiteedi. '
Küberkurjategijad viimistlevad oma rünnakuid sisuliselt ja valivad oma sihtmärgid, selle asemel et korraldada massilisi e-posti kampaaniaid ja loota ohvreid kinni haarata. Nad varastavad raha ja veelgi tähtsamalt tundlikku teavet. Viimane pöördepunkt on sisuliselt vaid näide häkkeritest, kes järgivad turgu ja raha. Seetõttu ei tohiks strateegia muutust pidada püsivaks, märkis Dawson: 'Mis pole selge, on selle muutuse lõplik tulemus või lõppmäng. A505 jälgib väga palju raha, kohanedes ülemaailmsete suundumustega ning uurides uusi geograafilisi ja kasulikke koormusi, et maksimeerida nende tulu. '
Sildid pahavara
