Pro Hacking Groups dreier seg om ny form for skadelig programvare med ‘AndroMut’, målretting mot finansiell informasjon og banker som bruker sosial ingeniørfag

En profesjonell hackinggruppe med sofistikerte teknikker for å utføre phishing og andre former for malwareangrep ser ut til å endre retning. Med et klart mål om å prioritere kvalitet fremfor kvantitet, har den beryktede TA505-gruppen av hackere svingt ved hjelp av en ny form for ondsinnet kode som heter AndroMut. Interessant, malware ser ut til å være inspirert av Andromeda. Opprinnelig designet av en annen hackinggruppe, var Andromeda et av de største malware-botnettene i verden så sent som i 2017. Botnets basert på Andromeda-koden utførte vellykket levering av nyttelast på flere mistenkelige og sårbare PC-er som kjører Windows-operativsystemet. AndroMut ser ut til å være i stor grad basert på akkurat denne Andromeda-koden som indikerer et mulig samarbeid mellom hackergruppene.

En av verdens mest vellykkede nettkriminelle grupper, som kaller seg TA505, ser ut til å ha endret taktikken. Som en del av den siste ondsinnede kampanjen for å angripe og stjele økonomisk informasjon, er gruppen opptatt med å distribuere en ny form for skadelig programvare. I stedet for å målrette mot et stort antall individer, som en del av pivoten, ser det ut til at TA505-gruppen går etter banker og andre finansielle tjenester. Forresten forblir inngangspunktet eller opprinnelsen det samme, men det tiltenkte målet og fokus ser ut til å være på den organiserte finansielle sektoren. Forresten anbefales finansielle selskaper i USA, De forente arabiske emirater og Singapore å være i beredskap og se etter mistenkelig innhold. Noen av de vanligste punktene i angrepet er fortsatt e-post.

TA505 Group bruker Andromeda Base for å utvikle og distribuere AndroMut

Den beryktede TA505-gruppen ser ut til å ha økt intensiteten i løpet av den siste måneden og har fortsatt med samme voldsomhet. Det prøver ikke lenger å distribuere tilfeldige bølger av angrep som prøver å få kontroll over ofrenes maskiner. Med andre ord, masse phishing-e-post er ikke lenger den foretrukne taktikken. I stedet har TA505-gruppen redusert angrepsvolumet betydelig og har klart byttet til mer målrettede angrep.

Basert på analysen av flere mistenkte e-postmeldinger og andre former for elektronisk kommunikasjon og media, har cybersikkerhetsforskere ved Bevispunkt har indikert at gruppen av hackere ser ut til å være rettet mot ansatte i banker og andre finansielle tjenesteleverandører. Forskerne har også avdekket bruken av en ny form for sofistikert skadelig programvare. Forskerne kaller det AndroMut og har oppdaget at skadelig programvare har ganske mange likheter med Andromeda. Andromeda er designet og distribuert av en helt annen gruppe hackere, og har vært et av de mest vellykkede, farlige og et av verdens største nettverk av malware-botnett. Frem til 2017 spredte Andromeda seg raskt og installerte seg selv på sårbare PC-er som kjørte Windows-operativsystemet.

Hvordan utfører TA505-gruppen angrepet mot skadelig programvare?

Som de fleste av de andre TA505-gruppens angrep distribueres også den nye AndroMut-skadelige programvaren via e-post som ser legitim ut. Phishing-angrepene inkluderer e-post som ser ut og føles veldig offisielle og autentiske. Slike e-poster hevder vanligvis å inneholde fakturaer og andre dokumenter som påstås å være relatert til bank og finans. E-poster som brukes i phishing blir ofte møysommelig opprettet. Selv om flere e-poster inneholder det populære PDF-dokumentet, ser phishing-e-post fra TA505-gruppen ut til å stole på Word-dokumenter.

https://twitter.com/rsz619mania/status/1146387091598667777

Når det intetanende offeret åpner det snørte Word-dokumentet, er gruppen avhengig av sosialteknikk for å fortsette angrepet. Dette kan høres komplisert ut, men faktisk er angrepet avhengig av en ganske eldgammel metode for ‘makroer’ i Word-dokumentet. Mål informeres om at informasjonen er 'beskyttet' og at de må aktivere redigering for å se innholdet. Dette gjør det mulig for makroer og lar AndroMut leveres til maskinen. Denne skadelige programvaren laster deretter ned FlawedAmmyy diskret. Når begge er installert, er ofrenes maskiner fullstendig kompromittert.

Hva er AndroMut, og hvordan fungerer flerstegs skadelig programvare?

TA505 bruker for øyeblikket AndroMut som den første fasen i et to-trinns angrep. AndroMut er med andre ord den første delen av en vellykket infeksjon og kontroll av ofrenes datamaskiner. Når vellykket med penetrasjon, bruker AndroMut infeksjonen til å diskret slippe en ny nyttelast på den kompromitterte maskinen. Den andre nyttelasten med skadelig kode kalles FlawedAmmyy. I hovedsak er FlawedAmmyy en kraftig og effektiv Remote Access Trojan eller RAT.

Den aggressive andre trinn RAT FlawedAmmyy er en virulent malware som gir ekstern tilgang til ofrenes datamaskiner. Angripere kan få eksterne administratorrettigheter. Når de er inne, har angriperne full tilgang til filer, legitimasjon og mer.

Forresten er ikke dataene i seg selv målet. Med andre ord, å stjele data er ikke den primære intensjonen. Som en del av pivoten er TA505-gruppen ute etter informasjon som gir dem tilgang til det interne nettverket av banker og andre finansinstitusjoner.

TA505 Group følger pengene, si eksperter:

Snakker om aktivitetene til hacking-gruppen, Chris Dawson, trussel etterretning leder på Bevispunkt sa, “A505s overgang til å først og fremst distribuere RAT-er og nedlastere i mye mer målrettede kampanjer enn de tidligere har ansatt med bank-trojanere og løsepenger antyder et fundamentalt skifte i deres taktikk. I hovedsak går gruppen etter infeksjoner av høyere kvalitet med potensial for langsiktig inntektsgenerering - kvalitet fremfor kvantitet. "

Nettkriminelle finjusterer i hovedsak angrepene sine, og velger sine mål i stedet for å gjennomføre massive e-postkampanjer og håper å fange ofre. De er ute etter dataene, og enda viktigere, sensitiv informasjon, for å stjele penger. Den siste pivoten er egentlig bare et eksempel på hackere som følger markedet og penger. Derfor bør ikke skiftet i strategien betraktes som permanent, bemerket Dawson, “Det som ikke er klart, er det endelige resultatet eller sluttspillet til dette skiftet. A505 følger veldig mye pengene, tilpasser seg globale trender og utforsker nye geografiske områder og nyttelast for å maksimere avkastningen. ”

Facebook Twitter Google Plus Pinterest