Logo ro.nowadaytechnol.com

Grupurile Pro Hacking Pivotează Spre O Nouă Formă De Malware Cu „AndroMut”, Direcționând Informații Financiare și Bănci Folosind Ingineria Socială

Cuprins:

Grupurile Pro Hacking Pivotează Spre O Nouă Formă De Malware Cu „AndroMut”, Direcționând Informații Financiare și Bănci Folosind Ingineria Socială
Grupurile Pro Hacking Pivotează Spre O Nouă Formă De Malware Cu „AndroMut”, Direcționând Informații Financiare și Bănci Folosind Ingineria Socială

Video: Grupurile Pro Hacking Pivotează Spre O Nouă Formă De Malware Cu „AndroMut”, Direcționând Informații Financiare și Bănci Folosind Ingineria Socială

Video: Grupurile Pro Hacking Pivotează Spre O Nouă Formă De Malware Cu „AndroMut”, Direcționând Informații Financiare și Bănci Folosind Ingineria Socială
Video: 🔥Взлом 5 телефонов читеров Троллинг в SpyNote Hacking 5 phones of с0сКsucКеrs troll in SpyNote Njrat 2024, Martie
Anonim
Image
Image

un grup de hacking profesionist cu tehnici sofisticate pentru a executa phishing și alte forme de atacuri malware pare să-și modifice direcția. Cu scopul clar de a acorda prioritate calității în raport cu cantitatea, infamul grup de hackeri TA505 a pivotat folosind o nouă formă de cod rău intenționat numit AndroMut. Interesant este că malware-ul pare a fi inspirat de Andromeda. Conceput inițial de un alt grup de hacking, Andromed a fost unul dintre cele mai mari botnet-uri malware din lume încă din 2017. Botnet-urile bazate pe Andromedcode și-au executat cu succes livrarea sarcinii utile pe mai multe PC-uri suspectate și vulnerabile care rulează sistemul de operare Windows. AndroMut pare să se bazeze în mare parte pe acest cod Andromed care indică o posibilă colaborare între grupurile de hackeri.

Unul dintre cele mai de succes grupuri cibercriminale din lume, care se numesc TA505, pare să-și fi modificat tactica. Ca parte a celei mai recente campanii rău intenționate de atac și furt de informații financiare, grupul este ocupat să distribuie o nouă formă de malware. În loc să vizeze un număr mare de persoane, ca parte a pivotului, grupul TA505 pare să meargă după bănci și alte servicii financiare. De altfel, punctul de intrare sau de origine rămâne același, dar ținta și accentul preconizat par să fie asupra sectorului financiar organizat. De altfel, companiile financiare din SUA, Emiratele Arabe Unite și Singapore sunt sfătuiți să fie în alertă maximă și să caute orice conținut suspect. Unele dintre cele mai frecvente puncte ale atacului rămân a fi e-mailurile cu aspect oficial.

TA505 Group folosește AndromedBase pentru a dezvolta și implementa AndroMut

Infamul grup TA505 pare să-și fi crescut intensitatea în ultima lună și a continuat cu aceeași ferocitate. Nu mai încearcă să desfășoare valuri aleatorii de atacuri care încearcă să câștige controlul asupra mașinilor victimelor. Cu alte cuvinte, e-mailurile de phishing în masă nu mai sunt tactica preferată. În schimb, grupul TA505 a redus semnificativ volumul de atacuri și a trecut clar la atacuri mai vizate.

Scriere frumoasă de la @proofpointcercetătorii au discutat despre două campanii distincte de TA505 care au folosit AndroMut pentru a descărca FlawedAmmyy. AndroMut este scris în C ++ și este un tip de program de descărcare

Blog:

Mostre:

- InQuest (@InQuest) 3 iulie 2019

Pe baza analizei mai multor e-mailuri suspectate și a altor forme de comunicare electronică și mass-media, cercetătorii de securitate cibernetică de la Proofpoint au indicat că grupul de hackeri pare să vizeze angajații băncilor și a altor furnizori de servicii financiare. Cercetătorii au descoperit, de asemenea, utilizarea unei noi forme de malware sofisticat. Cercetătorii îl numesc AndroMut și au descoperit că malware-ul are destul de puține asemănări cu Andromeda. Conceput și implementat de un grup complet diferit de hackeri, Andromed a fost una dintre cele mai executate cu succes, periculoase și una dintre cele mai mari rețele de rețele de tip malware din lume. Până în 2017, Andromed s-a răspândit prolific și s-a instalat cu succes pe computerele vulnerabile care rulează sistemul de operare Windows.

Cum execută grupul TA505 atacul malware?

La fel ca majoritatea atacurilor celorlalte grupuri TA505, și noul malware AndroMut este distribuit prin e-mailuri cu aspect legitim. Atacurile de phishing implică e-mailuri care arată și se simt extrem de oficiale și autentice. Astfel de e-mailuri pretind de obicei că conțin facturi și alte documente care pretind a fi legate de servicii bancare și financiare. E-mailurile utilizate în phishing sunt adesea create cu atenție. Deși mai multe e-mailuri conțin popularul document PDF, e-mailurile de phishing din grupul TA505 par să se bazeze pe documente Word.

twitter.com/rsz619mania/status/1146387091598667777

Odată ce victima nebănuită deschide documentul dantelat Word, grupul se bazează pe ingineria socială pentru a continua atacul. Acest lucru poate părea complicat, dar, de fapt, atacul se bazează pe o metodă destul de veche de „macrocomenzi” din documentul Word. Țintele sunt informate că informațiile sunt „protejate” și trebuie să permită editarea pentru a vedea conținutul acestora. Acest lucru permite macro-urilor și permite livrarea AndroMut la mașină. Acest malware apoi descarcă discret FlawedAmmyy. Odată ce ambele sunt instalate, aparatele victimelor sunt complet compromise.

Ce este AndroMut și cum funcționează malware-ul în mai multe etape?

TA505 utilizează în prezent AndroMut ca prima etapă a atacului în două etape. Cu alte cuvinte, AndroMut este prima parte a infecției cu succes și a controlului computerelor victimelor. Odată ce a reușit penetrarea, AndroMut folosește infecția pentru a lăsa discret a doua sarcină utilă pe mașina compromisă. A doua încărcătură utilă de cod rău intenționat se numește FlawedAmmyy. În esență, FlawedAmmyy este un troian sau RAT cu acces la distanță puternic și eficient.

RAT FlawedAmmyy, agresiv în a doua etapă, este un malware virulent care oferă acces la distanță la computerele victimelor. Atacatorii pot obține privilegii administrative de la distanță. Odată intrați, atacatorii au acces complet la fișiere, acreditări și multe altele.

De altfel, datele, în sine, nu sunt ținta. Cu alte cuvinte, furtul nu este intenția principală. Ca parte a pivotului, grupul TA505 urmărește informații care le oferă acces la rețeaua internă a băncilor și a altor instituții financiare.

TA505 lance le logiciel malveillant AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 3 iulie 2019

Grupul TA505 urmărește banii, spun experții:

Vorbind despre activitățile grupului de hacking, Chris Dawson, conducător al serviciilor de informații despre amenințări de la Proofpoint, a declarat: „Trecerea A505 către distribuirea în primul rând a RAT-urilor și a descărcătorilor în campanii mult mai direcționate decât au folosit anterior trojanii și ransomware-urile bancare sugerează o schimbare fundamentală în tactica lor. În esență, grupul urmărește infecții de calitate superioară, cu potențialul de monetizare pe termen mai lung - calitate peste cantitate.”

Infractorii cibernetici își reglează în mod esențial atacurile și își selectează țintele în loc să întreprindă campanii masive de e-mail și speră să înșele victimele. Ei urmăresc datele și, mai important, informațiile sensibile, pentru a fura bani. Cel mai recent pivot este în esență doar un exemplu de hackeri care urmăresc piața și banii. Prin urmare, schimbarea strategiei nu ar trebui considerată permanentă, a observat Dawson, „Ceea ce nu este clar este rezultatul final sau jocul final al acestei schimbări. A505 urmărește foarte mult banii, adaptându-se la tendințele globale și explorând noi geografii și sarcini utile pentru a maximiza rentabilitatea acestora.”

Recomandat: