Cybersäkerhetsillustration
En professionell hackinggrupp med sofistikerade tekniker för att utföra nätfiske och andra former av skadliga attacker verkar förändra riktningen. Med ett tydligt mål att prioritera kvalitet framför kvantitet har den ökända TA505-gruppen av hackare svängt med hjälp av en ny form av skadlig kod med namnet AndroMut. Intressant nog verkar skadlig programvara vara inspirerad av Andromeda. Ursprungligen designad av en annan hackinggrupp, var Andromeda ett av de största skadliga botnäten i världen så sent som 2017. Botnets baserade på Andromedakoden körde framgångsrikt sin nyttolastleverans på flera misstänkta och sårbara datorer som kör Windows operativsystem. AndroMut verkar till stor del baseras på just den här Andromedakoden som indikerar ett möjligt samarbete mellan hackargrupperna.
En av världens mest framgångsrika cyberkriminella grupper, som kallar sig TA505, verkar ha förändrat sin taktik. Som en del av den senaste skadliga kampanjen för att angripa och stjäla finansiell information är gruppen upptagen med att distribuera en ny form av skadlig kod. Istället för att rikta in sig på ett stort antal individer, som en del av pivoten, verkar TA505-gruppen gå efter banker och andra finansiella tjänster. Förresten förblir inträdet eller ursprunget detsamma, men det avsedda målet och fokus verkar vara på den organiserade finanssektorn. Förresten rekommenderas finansiella företag i USA, Förenade Arabemiraten och Singapore att vara i beredskap och leta efter misstänkt innehåll. Några av de vanligaste punkterna i attacken är fortfarande e-postmeddelanden som ser officiellt ut.
TA505 Group använder Andromeda Base för att utveckla och distribuera AndroMut
Den ökända TA505-gruppen verkar ha ökat sin intensitet under den senaste månaden och har fortsatt med samma hårdhet. Det försöker inte längre distribuera slumpmässiga vågor av attacker som försöker få kontroll över offrens maskiner. Med andra ord är massfiske-e-postmeddelanden inte längre den föredragna taktiken. Istället har TA505-gruppen sänkt volymen av attacker avsevärt och har tydligt bytt till mer riktade attacker.
Trevlig skrivning från @proofpoint
forskare diskuterar två distinkta kampanjer av TA505 som använde AndroMut för att ladda ner FlawedAmmyy. AndroMut är skrivet i C ++ och är en typ av nedladdare.
Blogg: https://t.co/vIDcrhKQ3z
Prover: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3 juli 2019
Baserat på analysen av flera misstänkta e-postmeddelanden och andra former av elektronisk kommunikation och media, har cybersäkerhetsforskare vid Bevis har angett att gruppen hackare verkar rikta sig till anställda i banker och andra finansiella tjänsteleverantörer. Forskarna har också upptäckt användningen av en ny form av sofistikerad skadlig kod. Forskarna kallar det AndroMut och har upptäckt att skadlig programvara har en hel del likheter med Andromeda. Andromeda har utformats och distribuerats av en helt annan grupp hackare och har varit ett av de mest framgångsrika, farliga och ett av världens största nätverk av malware-botten. Fram till 2017 spriddes Andromeda i stor utsträckning och installerade sig framgångsrikt på sårbara datorer som kör Windows-operativsystemet.
Hur utför TA505-gruppen Malware Attack?
Liksom de flesta av de andra TA505-gruppens attacker distribueras också den nya AndroMut-skadlig programvaran via e-post som ser legitimt ut. Phishing-attackerna innefattar e-postmeddelanden som ser ut och känns mycket officiella och autentiska. Sådana e-postmeddelanden hävdar vanligtvis att de innehåller fakturor och andra dokument som påstås vara relaterade till bank och finans. E-postmeddelanden som används vid nätfiske skapas ofta noggrant. Även om flera e-postmeddelanden innehåller det populära PDF-dokumentet, verkar phishing-e-postmeddelanden från TA505-gruppen förlita sig på Word-dokument.
https://twitter.com/rsz619mania/status/1146387091598667777
När det intet ont anande offret öppnar det snörda Word-dokumentet förlitar sig gruppen på socialteknik för att fortsätta attacken. Detta kan låta komplicerat, men faktiskt förlitar sig attacken på en ganska gammal metod för 'makron' i Word-dokument. Mål informeras om att informationen är ”skyddad” och att de måste möjliggöra redigering för att se dess innehåll. Genom att göra detta kan makron och AndroMut levereras till maskinen. Denna skadliga program hämtar sedan diskret FlawedAmmyy. När båda har installerats äventyras offrens maskiner helt.
Vad är AndroMut och hur fungerar flerstegs skadlig kod?
TA505 använder för närvarande AndroMut som det första steget i en tvåstegsattack. AndroMut är med andra ord den första delen av en framgångsrik infektion och kontroll av offrens datorer. När väl väl framgångsrik penetration använder AndroMut infektionen för att diskret släppa en andra nyttolast på den komprometterade maskinen. Den andra nyttolasten med skadlig kod heter FlawedAmmyy. I huvudsak är FlawedAmmyy en kraftfull och effektiv Remote Access Trojan eller RAT.
Den aggressiva andra etappen RAT FlawedAmmyy är en virulent skadlig kod som ger fjärråtkomst till offrens datorer. Angripare kan få administrativa behörigheter på distans. Väl inne har angripare fullständig åtkomst till filer, referenser och mer.
För övrigt är inte data i sig målet. Med andra ord är det inte den primära avsikten att stjäla data. Som en del av ledpunkten är TA505-gruppen ute efter information som ger dem tillgång till det interna nätverket av banker och andra finansinstitut.
TA505 lanserar AndroMut-skadlig programvara https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 juli 2019
TA505 Group följer pengarna, säg experter:
På tal om aktiviteterna i hackinggruppen, Chris Dawson, hotinformation ledar vid Bevis sade, ”A505: s övergång till att främst distribuera RAT: er och nedladdare i mycket mer riktade kampanjer än vad de tidigare använt med bank-trojaner och ransomware antyder en grundläggande förändring i deras taktik. I huvudsak går gruppen efter infektioner av högre kvalitet med potential för långsiktig intäktsgenerering - kvalitet över kvantitet. ”
Cyberbrottslingar finjusterar i huvudsak sina attacker och väljer sina mål istället för att genomföra massiva e-postkampanjer och hoppas fånga offer. De är ute efter uppgifterna, och ännu viktigare, känslig information, för att stjäla pengar. Den senaste pivoten är i princip bara ett exempel på hackare som följer marknaden och pengar. Därför bör strategiförskjutningen inte betraktas som permanent, konstaterade Dawson, ”Det som inte är klart är det slutliga resultatet eller slutspelet för detta skifte. A505 följer mycket pengarna, anpassar sig till globala trender och utforskar nya geografier och nyttolaster för att maximera deras avkastning. ”
Taggar skadlig kod
