Ilustracija cybersecurity
Čini se da profesionalna hakerska skupina sa sofisticiranim tehnikama za izvršavanje krađe identiteta i drugih oblika napada zlonamjernog softvera mijenja svoj smjer. S jasnim ciljem da prioritet daju kvaliteti nad količinom, zloglasna skupina hakera TA505 okrenula se upotrebom novog oblika zlonamjernog koda imena AndroMut. Zanimljivo je da se čini da je zlonamjerni softver inspiriran Andromedom. Izvorno dizajnirana od strane druge hakerske grupe, Andromeda je bila jedna od najvećih botnet mreža zlonamjernog softvera nedavno u 2017. Botnet mreže temeljene na Andromedinom kodu uspješno su izvršile isporuku korisnog tereta na nekoliko sumnjivih i ranjivih računala s operativnim sustavom Windows. Čini se da se AndroMut u velikoj mjeri temelji na upravo ovom Andromedinom kodu koji ukazuje na moguću suradnju između hakerskih skupina.
Čini se da je jedna od najuspješnijih kiberkriminalnih skupina na svijetu, koja sebe naziva TA505, promijenila svoju taktiku. U sklopu najnovije zlonamjerne kampanje napada i krađe financijskih podataka, grupa je zauzeta distribucijom novog oblika zlonamjernog softvera. Umjesto da cilja velik broj pojedinaca, čini se da grupa TA505 kao dio pivota juri za bankama i drugim financijskim uslugama. Inače, mjesto ulaska ili ishodišta ostaje isto, ali čini se da su ciljani cilj i fokus na organiziranom financijskom sektoru. Inače, financijskim tvrtkama u SAD-u, Ujedinjenim Arapskim Emiratima i Singapuru savjetuje se da budu u visokoj pripravnosti i traže sumnjiv sadržaj. Neke od najčešćih točaka napada i dalje su službene e-adrese.
TA505 grupa koristi bazu Andromeda za razvoj i postavljanje AndroMuta
Čini se da je zloglasna skupina TA505 povećala svoj intenzitet tijekom posljednjih mjesec dana i nastavila s istom žestinom. Više ne pokušava rasporediti slučajne valove napada koji pokušavaju steći kontrolu nad strojevima žrtava. Drugim riječima, masovna phishing e-pošta više nije preferirana taktika. Umjesto toga, skupina TA505 značajno je smanjila opseg napada i očito se prebacila na ciljanije napade.
Lijep zapis od @proofpoint
istraživači koji raspravljaju o dvije različite kampanje tvrtke TA505 koje su koristile AndroMut za preuzimanje FlawedAmmyy. AndroMut je napisan na jeziku C ++ i vrsta je programa za preuzimanje.
Blog: https://t.co/vIDcrhKQ3z
Uzorci: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3. srpnja 2019
Na temelju analize nekoliko sumnjivih e-adresa i drugih oblika elektroničke komunikacije i medija, istraživači kibernetičke sigurnosti na Proofpoint naznačili su da se čini da skupina hakera cilja zaposlenike banaka i druge pružatelje financijskih usluga. Istraživači su također otkrili upotrebu novog oblika sofisticiranog zlonamjernog softvera. Istraživači ga nazivaju AndroMut i otkrili su da zlonamjerni softver ima dosta sličnosti s Andromedom. Dizajnirana i raspoređena od strane potpuno različite skupine hakera, Andromeda je jedna od najuspješnije izvedenih, opasnih i jedna od najvećih mreža botnet-ova malware-a na svijetu. Sve do 2017. Andromeda se plodno širila i uspješno se instalirala na ranjiva računala s operativnim sustavom Windows.
Kako grupa TA505 izvršava napad malware-a?
Kao i većina napada druge skupine TA505, i novi se malware AndroMut distribuira putem e-pošte legitimnog izgleda. Phishing napadi uključuju e-poštu koja izgleda i osjeća se visoko službeno i autentično. U takvim se e-porukama obično tvrdi da sadrže račune i druge dokumente koji su navodno povezani s bankarstvom i financijama. E-adrese koje se koriste u krađi identiteta često se marljivo kreiraju. Iako nekoliko e-adresa sadrži popularni PDF dokument, čini se da se phishing e-adrese iz grupe TA505 oslanjaju na Wordove dokumente.
https://twitter.com/rsz619mania/status/1146387091598667777
Jednom kada nesumnjiva žrtva otvori uvezani Wordov dokument, grupa se oslanja na socijalni inženjering za nastavak napada. Ovo može zvučati komplicirano, ali zapravo se napad oslanja na prilično drevnu metodu 'makronaredbi' u Word dokumentu. Ciljevi su obaviješteni da su informacije 'zaštićene' i trebaju omogućiti uređivanje kako bi vidjeli njihov sadržaj. To omogućuje makronaredbe i omogućuje isporuku AndroMuta na stroj. Ovaj zlonamjerni softver zatim diskretno preuzima FlawedAmmyy. Nakon što se obje instaliraju, strojevi žrtava u potpunosti su ugroženi.
Što je AndroMut i kako funkcionira višestupanjski zlonamjerni softver?
TA505 trenutno koristi AndroMut kao prvu fazu u dvostupanjskom napadu. Drugim riječima, AndroMut je prvi dio uspješne infekcije i kontrole računala žrtava. Jednom kad uspješno prodre, AndroMut koristi infekciju da diskretno spusti drugu korisnu težinu na ugroženi stroj. Druga korisna količina zlonamjernog koda zove se FlawedAmmyy. U osnovi, FlawedAmmyy je moćan i učinkovit Trojanski program za daljinski pristup ili RAT.
Agresivni RAT FlawedAmmyy u drugoj fazi virulentni je zlonamjerni softver koji omogućuje daljinski pristup računalima žrtava. Napadači mogu steći administrativne privilegije na daljinu. Jednom uđu, napadači imaju potpun pristup datotekama, vjerodajnicama i mnogim drugim.
Inače, podaci sami po sebi nisu meta. Drugim riječima, krađa podataka nije primarna namjera. Kao dio pivota, grupa TA505 traži informacije koje im omogućavaju pristup internoj mreži banaka i drugih financijskih institucija.
TA505 lansira AndroMut malware https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3. srpnja 2019
TA505 grupa slijedi novac, kažu stručnjaci:
Govoreći o aktivnostima hakerske skupine, Chris Dawson, obavještajna služba o prijetnjama Proofpoint rekao je, „Prelazak A505 na primarnu distribuciju RAT-ova i preuzimača u mnogo ciljanijim kampanjama nego što su to prije radili s bankarskim trojancima i ransomwareom sugerira temeljni pomak u njihovoj taktici. U osnovi, grupa se bavi infekcijama veće kvalitete s potencijalom za dugoročnije unovčavanje - kvaliteta nad količinom. '
Kibernetski kriminalci u osnovi dotjeruju svoje napade i odabiru svoje ciljeve umjesto da poduzimaju masovne kampanje slanjem e-pošte i nadaju se da će uhvatiti žrtve. Oni traže podatke i, što je još važnije, osjetljive podatke kako bi ukrali novac. Najnoviji pivot u osnovi je samo primjer hakera koji prate tržište i novac. Stoga se pomak u strategiji ne bi trebao smatrati trajnim, primijetio je Dawson, „Ono što nije jasno je konačni ishod ili kraj ovog pomaka. A505 itekako prati novac, prilagođavajući se svjetskim trendovima i istražujući nove zemljopisne i korisne terete kako bi maksimalizirao svoj prinos. '
Oznake zlonamjerni softver
![[FIX] Cloudflare ‘Pogreška 523: podrijetlo je nedostupno’](https://jf-balio.pt/img/how-tos/79/cloudflare-error-523.jpg)
