Logo sl.nowadaytechnol.com

Pro Hekerske Skupine S Pomočjo AndroMut Usmerjajo K Novi Obliki Zlonamerne Programske Opreme, Ciljajo Na Finančne Informacije In Banke S Pomočjo Socialnega Inženiringa

Kazalo:

Pro Hekerske Skupine S Pomočjo AndroMut Usmerjajo K Novi Obliki Zlonamerne Programske Opreme, Ciljajo Na Finančne Informacije In Banke S Pomočjo Socialnega Inženiringa
Pro Hekerske Skupine S Pomočjo AndroMut Usmerjajo K Novi Obliki Zlonamerne Programske Opreme, Ciljajo Na Finančne Informacije In Banke S Pomočjo Socialnega Inženiringa

Video: Pro Hekerske Skupine S Pomočjo AndroMut Usmerjajo K Novi Obliki Zlonamerne Programske Opreme, Ciljajo Na Finančne Informacije In Banke S Pomočjo Socialnega Inženiringa

Video: Pro Hekerske Skupine S Pomočjo AndroMut Usmerjajo K Novi Obliki Zlonamerne Programske Opreme, Ciljajo Na Finančne Informacije In Banke S Pomočjo Socialnega Inženiringa
Video: Банковский троян Android #Cerberus #ESET. 2024, Marec
Anonim
Image
Image

Zdi se, da profesionalna hekerska skupina s prefinjenimi tehnikami za izvajanje lažnega predstavljanja in drugih oblik napadov zlonamerne programske opreme spreminja svojo smer. Z jasnim ciljem, da prednost dajo kakovosti pred količino, se je zloglasna skupina hekerjev TA505 usmerila v novo obliko zlonamerne kode z imenom AndroMut. Zanimivo je, da se zdi, da je zlonamerno programsko opremo navdihnila Andromeda. Andromed je bil prvotno zasnovan z drugo hekersko skupino in je bil eden največjih botnetov na svetu zlonamerne programske opreme šele leta 2017. Botneti, ki temeljijo na Andromedcode, so uspešno izvedli dostavo koristnega tovora na več sumljivih in ranljivih osebnih računalnikih z operacijskim sistemom Windows. Zdi se, da AndroMut v veliki meri temelji na prav tej Andromedcode, kar kaže na morebitno sodelovanje med hekerskimi skupinami.

Zdi se, da je ena najuspešnejših skupin za kibernetski kriminal na svetu, ki se imenujejo TA505, spremenila svojo taktiko. V okviru zadnje zlonamerne kampanje napada in kraje finančnih informacij je skupina zasedena z distribucijo nove oblike zlonamerne programske opreme. Zdi se, da skupina TA505 namesto, da bi ciljala na veliko število posameznikov, usmerjena v banke in druge finančne storitve. Mimogrede, točka vstopa ali izhoda ostaja enaka, vendar se zdi, da sta predvideni cilj in poudarek na organiziranem finančnem sektorju. Mimogrede, finančnim družbam v ZDA, Združenih arabskih emiratih in Singapurju svetujemo, naj bodo v pripravljenosti in iščejo sumljivo vsebino. Nekatere najpogostejše točke napada ostajajo uradna e-poštna sporočila.

Skupina TA505 uporablja AndromedBase za razvoj in uvajanje AndroMut-a

Zdi se, da je zloglasna skupina TA505 v zadnjem mesecu povečala svojo intenzivnost in nadaljevala z enako ostrino. Ne poskuša več uporabljati naključnih valov napadov, s katerimi želi pridobiti nadzor nad napravami žrtev. Z drugimi besedami, množična elektronska pošta z lažnim predstavljanjem ni več prednostna taktika. Namesto tega je skupina TA505 znatno zmanjšala obseg napadov in očitno prešla na bolj ciljno usmerjene napade.

Lep zapis iz @proofpointraziskovalci, ki so razpravljali o dveh ločenih kampanjah TA505, ki sta uporabila AndroMut za prenos FlawedAmmyy. AndroMut je napisan v jeziku C ++ in je vrsta programa za prenos

Blog:

Vzorci:

- InQuest (@InQuest) 3. julij 2019

Na podlagi analize več domnevnih e-poštnih sporočil in drugih oblik elektronske komunikacije in medijev so raziskovalci kibernetske varnosti pri Proofpointu navedli, da se zdi, da skupina hekerjev cilja na zaposlene v bankah in drugih ponudnikih finančnih storitev. Raziskovalci so odkrili tudi uporabo nove oblike dovršene zlonamerne programske opreme. Raziskovalci ga imenujejo AndroMut in odkrili so, da ima zlonamerna programska oprema kar nekaj podobnosti z Andromedo. Andromed je bil zasnovan in razvit s popolnoma drugačno skupino hekerjev in je bil eden najuspešneje izvedenih, nevarnih in eden največjih omrežij botnetov zlonamerne programske opreme na svetu. Do leta 2017 se je Andromed plodno širil in se uspešno namestil na ranljive osebne računalnike z operacijskim sistemom Windows.

Kako skupina TA505 izvaja napad zlonamerne programske opreme?

Tako kot večina napadov druge skupine TA505, se tudi nova zlonamerna programska oprema AndroMut distribuira prek zakonitih e-poštnih sporočil. Lažni napadi vključujejo e-poštna sporočila, ki so videti zelo uradna in verodostojna. Takšna e-poštna sporočila običajno vsebujejo račune in druge dokumente, ki naj bi bili povezani z bančništvom in financami. E-poštna sporočila, ki se uporabljajo pri lažnem predstavljanju, so pogosto skrbno ustvarjena. Čeprav več e-poštnih sporočil vsebuje priljubljeni dokument PDF, se zdi, da se lažna e-poštna sporočila iz skupine TA505 zanašajo na Wordove dokumente.

twitter.com/rsz619mania/status/1146387091598667777

Ko nič hudega sluteča žrtev odpre vezni Wordov dokument, se skupina zanese na socialni inženiring. To se morda sliši zapleteno, toda pravzaprav napad temelji na precej starodavni metodi "makrov" v dokumentu Word. Cilji so obveščeni, da so informacije "zaščitene" in jim je treba omogočiti urejanje, da si ogledajo njihovo vsebino. S tem omogočite makre in omogočite dostavo AndroMut v stroj. Nato ta zlonamerna programska oprema diskretno prenese FlawedAmmyy. Ko sta obe nameščeni, so stroji žrtev popolnoma ogroženi.

Kaj je AndroMut in kako deluje večstopenjska zlonamerna programska oprema?

TA505 trenutno uporablja AndroMut kot prvo stopnjo dvostopenjskega napada. Z drugimi besedami, AndroMut je prvi del uspešne okužbe in nadzora nad računalniki žrtev. Ko je AndroMut uspešno prodrl, z okužbo diskretno spusti drugi tovor na ogroženi stroj. Drugi tovor zlonamerne kode se imenuje FlawedAmmyy. V bistvu je FlawedAmmyy zmogljiv in učinkovit trojanski program za oddaljeni dostop ali RAT.

Agresivni RAT FlawedAmmyy v drugi fazi je virulentna zlonamerna programska oprema, ki omogoča oddaljen dostop do računalnikov žrtev. Napadalci lahko pridobijo oddaljene skrbniške pravice. Ko so napadalci v celoti dostopni do datotek, poverilnic in še več.

Mimogrede, podatki sami po sebi niso tarča. Z drugimi besedami, kraja datisa ni glavni namen. Kot del pivota skupina TA505 išče informacije, ki jim omogočajo dostop do notranje mreže bank in drugih finančnih institucij.

TA505 lance le logiciel malveillant AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 3. julij 2019

Strokovnjaki pravijo, da skupina TA505 sledi denarju,

Chris Dawson, vodja obveščevalne agencije o grožnjah pri Proofpoint, je o dejavnostih hekerske skupine dejal: "Prehod A505 na primarno distribucijo RAT-ov in prenosnikov v veliko bolj ciljno usmerjenih kampanjah, kot so bili prej zaposleni pri bančnih trojanskih programih in ransomware, kaže na temeljni premik v njihovi taktiki. V bistvu skupina preganja okužbe višje kakovosti s potencialom za dolgoročnejšo monetizacijo - kakovost nad količino."

Kiberkriminalci v bistvu natančno prilagajajo svoje napade in izbirajo svoje cilje, namesto da bi se lotili množičnih e-poštnih kampanj in upali, da bi zaskočili žrtve. Za krajo denarja iščejo podatke in, kar je še pomembneje, občutljive podatke. Najnovejši pivot je v bistvu le primer hekerjev, ki sledijo trgu in denarju. Zato premika v strategiji ne bi smeli šteti za trajnega, je opazil Dawson: Kar ni jasno, je končni rezultat ali končna igra tega premika. A505 zelo sledi denarju, se prilagaja svetovnim trendom in raziskuje nove zemljepisne tovore ter maksimira donos. «

Priporočena: