Cuprins:
- TA505 Group folosește AndromedBase pentru a dezvolta și implementa AndroMut
- Cum execută grupul TA505 atacul malware?
- Ce este AndroMut și cum funcționează malware-ul în mai multe etape?
- Grupul TA505 urmărește banii, spun experții:
Video: Grupurile Pro Hacking Pivotează Spre O Nouă Formă De Malware Cu „AndroMut”, Direcționând Informații Financiare și Bănci Folosind Ingineria Socială
2024 Autor: Kayla Nelson | [email protected]. Modificat ultima dată: 2023-12-17 01:34
un grup de hacking profesionist cu tehnici sofisticate pentru a executa phishing și alte forme de atacuri malware pare să-și modifice direcția. Cu scopul clar de a acorda prioritate calității în raport cu cantitatea, infamul grup de hackeri TA505 a pivotat folosind o nouă formă de cod rău intenționat numit AndroMut. Interesant este că malware-ul pare a fi inspirat de Andromeda. Conceput inițial de un alt grup de hacking, Andromed a fost unul dintre cele mai mari botnet-uri malware din lume încă din 2017. Botnet-urile bazate pe Andromedcode și-au executat cu succes livrarea sarcinii utile pe mai multe PC-uri suspectate și vulnerabile care rulează sistemul de operare Windows. AndroMut pare să se bazeze în mare parte pe acest cod Andromed care indică o posibilă colaborare între grupurile de hackeri.
Unul dintre cele mai de succes grupuri cibercriminale din lume, care se numesc TA505, pare să-și fi modificat tactica. Ca parte a celei mai recente campanii rău intenționate de atac și furt de informații financiare, grupul este ocupat să distribuie o nouă formă de malware. În loc să vizeze un număr mare de persoane, ca parte a pivotului, grupul TA505 pare să meargă după bănci și alte servicii financiare. De altfel, punctul de intrare sau de origine rămâne același, dar ținta și accentul preconizat par să fie asupra sectorului financiar organizat. De altfel, companiile financiare din SUA, Emiratele Arabe Unite și Singapore sunt sfătuiți să fie în alertă maximă și să caute orice conținut suspect. Unele dintre cele mai frecvente puncte ale atacului rămân a fi e-mailurile cu aspect oficial.
TA505 Group folosește AndromedBase pentru a dezvolta și implementa AndroMut
Infamul grup TA505 pare să-și fi crescut intensitatea în ultima lună și a continuat cu aceeași ferocitate. Nu mai încearcă să desfășoare valuri aleatorii de atacuri care încearcă să câștige controlul asupra mașinilor victimelor. Cu alte cuvinte, e-mailurile de phishing în masă nu mai sunt tactica preferată. În schimb, grupul TA505 a redus semnificativ volumul de atacuri și a trecut clar la atacuri mai vizate.
Scriere frumoasă de la @proofpointcercetătorii au discutat despre două campanii distincte de TA505 care au folosit AndroMut pentru a descărca FlawedAmmyy. AndroMut este scris în C ++ și este un tip de program de descărcare
Blog:
Mostre:
- InQuest (@InQuest) 3 iulie 2019
Pe baza analizei mai multor e-mailuri suspectate și a altor forme de comunicare electronică și mass-media, cercetătorii de securitate cibernetică de la Proofpoint au indicat că grupul de hackeri pare să vizeze angajații băncilor și a altor furnizori de servicii financiare. Cercetătorii au descoperit, de asemenea, utilizarea unei noi forme de malware sofisticat. Cercetătorii îl numesc AndroMut și au descoperit că malware-ul are destul de puține asemănări cu Andromeda. Conceput și implementat de un grup complet diferit de hackeri, Andromed a fost una dintre cele mai executate cu succes, periculoase și una dintre cele mai mari rețele de rețele de tip malware din lume. Până în 2017, Andromed s-a răspândit prolific și s-a instalat cu succes pe computerele vulnerabile care rulează sistemul de operare Windows.
Cum execută grupul TA505 atacul malware?
La fel ca majoritatea atacurilor celorlalte grupuri TA505, și noul malware AndroMut este distribuit prin e-mailuri cu aspect legitim. Atacurile de phishing implică e-mailuri care arată și se simt extrem de oficiale și autentice. Astfel de e-mailuri pretind de obicei că conțin facturi și alte documente care pretind a fi legate de servicii bancare și financiare. E-mailurile utilizate în phishing sunt adesea create cu atenție. Deși mai multe e-mailuri conțin popularul document PDF, e-mailurile de phishing din grupul TA505 par să se bazeze pe documente Word.
twitter.com/rsz619mania/status/1146387091598667777
Odată ce victima nebănuită deschide documentul dantelat Word, grupul se bazează pe ingineria socială pentru a continua atacul. Acest lucru poate părea complicat, dar, de fapt, atacul se bazează pe o metodă destul de veche de „macrocomenzi” din documentul Word. Țintele sunt informate că informațiile sunt „protejate” și trebuie să permită editarea pentru a vedea conținutul acestora. Acest lucru permite macro-urilor și permite livrarea AndroMut la mașină. Acest malware apoi descarcă discret FlawedAmmyy. Odată ce ambele sunt instalate, aparatele victimelor sunt complet compromise.
Ce este AndroMut și cum funcționează malware-ul în mai multe etape?
TA505 utilizează în prezent AndroMut ca prima etapă a atacului în două etape. Cu alte cuvinte, AndroMut este prima parte a infecției cu succes și a controlului computerelor victimelor. Odată ce a reușit penetrarea, AndroMut folosește infecția pentru a lăsa discret a doua sarcină utilă pe mașina compromisă. A doua încărcătură utilă de cod rău intenționat se numește FlawedAmmyy. În esență, FlawedAmmyy este un troian sau RAT cu acces la distanță puternic și eficient.
RAT FlawedAmmyy, agresiv în a doua etapă, este un malware virulent care oferă acces la distanță la computerele victimelor. Atacatorii pot obține privilegii administrative de la distanță. Odată intrați, atacatorii au acces complet la fișiere, acreditări și multe altele.
De altfel, datele, în sine, nu sunt ținta. Cu alte cuvinte, furtul nu este intenția principală. Ca parte a pivotului, grupul TA505 urmărește informații care le oferă acces la rețeaua internă a băncilor și a altor instituții financiare.
TA505 lance le logiciel malveillant AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 iulie 2019
Grupul TA505 urmărește banii, spun experții:
Vorbind despre activitățile grupului de hacking, Chris Dawson, conducător al serviciilor de informații despre amenințări de la Proofpoint, a declarat: „Trecerea A505 către distribuirea în primul rând a RAT-urilor și a descărcătorilor în campanii mult mai direcționate decât au folosit anterior trojanii și ransomware-urile bancare sugerează o schimbare fundamentală în tactica lor. În esență, grupul urmărește infecții de calitate superioară, cu potențialul de monetizare pe termen mai lung - calitate peste cantitate.”
Infractorii cibernetici își reglează în mod esențial atacurile și își selectează țintele în loc să întreprindă campanii masive de e-mail și speră să înșele victimele. Ei urmăresc datele și, mai important, informațiile sensibile, pentru a fura bani. Cel mai recent pivot este în esență doar un exemplu de hackeri care urmăresc piața și banii. Prin urmare, schimbarea strategiei nu ar trebui considerată permanentă, a observat Dawson, „Ceea ce nu este clar este rezultatul final sau jocul final al acestei schimbări. A505 urmărește foarte mult banii, adaptându-se la tendințele globale și explorând noi geografii și sarcini utile pentru a maximiza rentabilitatea acestora.”
Recomandat:
Programele Malware Malware Pentru Troieni, Disponibile Gratuit Pe Web-ul întunecat, Ar Putea Da Naștere Atacurilor De Phishing Pentru Profituri Financiare
Malware-ul troian este adesea foarte solicitat de către atacatorii rău intenționați. De obicei, troienii puternici cu acces la distanță (RAT) sunt vânduți pentru sume frumoase, dar noi
OnePlus Suferă Din Nou încălcarea Datelor și Expune Informații Despre Unii Cumpărători, Autentificare și Informații De Plată în Condiții De Siguranță, Revendică Producătorul De Smartphone-uri
OnePlus, compania care a devenit o entitate puternică cunoscută sub numele de „flagship Killer”, a suferit încă o încălcare a datelor la începutul acestei săptămâni. Creatorul
Google Scoate Aplicația Nouă A Camerei Versiunea 7.4: 8X Zoom în Video, Comutare Rezoluție și Informații Despre Dispozitivele Pixel Viitoare
Pixel 4 nu a avut prea multă viață în lumina reflectoarelor. Chiar și atunci când nu a fost niciodată dintr-un motiv întemeiat. Poate că unele dispozitive sunt multe pentru a trece prin toate
Google Va Extinde Fragmentul De Informații „Despre Acest Anunț” Pentru A Include Mai Multe Informații Despre Editorul Publicitar și Pentru A Spori Transparența
Google încearcă să sporească transparența și să ajute utilizatorii web cu mai multe informații despre reclamele care sunt difuzate în timp ce navighează pe internet
Cele Mai Bune Bănci De Putere De Peste 30000 MAh De Cumpărat în 2021
Într-o epocă guvernată de electronice și dispozitive mobile pentru a ne alimenta nenumăratele nevoi și sarcini, orice dispozitiv mobil care moare pe tine este ultimul lucru de care ai nevoie