Kiberdrošības ilustrācija
Profesionāla uzlaušanas grupa ar sarežģītām metodēm pikšķerēšanas un cita veida ļaunprātīgas programmatūras uzbrukumu veikšanai, šķiet, maina tās virzienu. Ar skaidru mērķi noteikt prioritāti kvalitātei, nevis kvantitātei, bēdīgi slavenā hakeru grupa TA505 ir pagriezta, izmantojot jaunu ļaunprātīga koda formu ar nosaukumu AndroMut. Interesanti, ka ļaunprogrammatūra, šķiet, ir iedvesmojusies no Andromeda. Sākotnēji cita, uzlaušanas grupa, izstrādājusi Andromeda bija viens no lielākajiem ļaunprogrammatūras robottīkliem pasaulē vēl 2017. gadā. Uz Andromeda koda balstītie robottīkli veiksmīgi veica kravas piegādi vairākos aizdomīgos un neaizsargātos datoros, kuros darbojas Windows operētājsistēma. Šķiet, ka AndroMut pamatā ir tieši šis Andromeda kods, kas norāda uz iespējamo hakeru grupu sadarbību.
Viena no pasaules veiksmīgākajām kibernoziedznieku grupām, kas sevi dēvē par TA505, šķiet, ir mainījusi tās taktiku. Jaunākās ļaunprātīgas uzbrukuma un finanšu informācijas zagšanas kampaņas ietvaros grupa ir aizņemta ar jauna veida ļaunprātīgas programmatūras izplatīšanu. Tā vietā, lai vērstos pret lielu personu skaitu, kā daļa no rakursa, šķiet, ka TA505 grupa seko bankām un citiem finanšu pakalpojumiem. Starp citu, ieceļošanas vai sākuma punkts paliek nemainīgs, bet paredzētais mērķis un uzmanība, šķiet, ir organizētajā finanšu sektorā. Starp citu, finanšu kompānijām ASV, Apvienotajos Arābu Emirātos un Singapūrā ieteicams būt piesardzīgiem un meklēt jebkādu aizdomīgu saturu. Daži no izplatītākajiem uzbrukuma punktiem joprojām ir oficiāla izskata e-pasta ziņojumi.
TA505 grupa izmanto Andromeda bāzi, lai izstrādātu un ieviestu AndroMut
Šķiet, ka bēdīgi slavenā TA505 grupa pēdējā mēneša laikā ir palielinājusi intensitāti un turpinājusi to pašu mežonību. Tas vairs nemēģina izvērst nejaušus uzbrukumu viļņus, kas mēģina iegūt kontroli pār upuru mašīnām. Citiem vārdiem sakot, masveida pikšķerēšanas e-pasta ziņojumi vairs nav ieteicamā taktika. Tā vietā TA505 grupa ir ievērojami samazinājusi uzbrukumu apjomu un nepārprotami ir pārgājusi uz mērķtiecīgākiem uzbrukumiem.
Jauka rakstīšana no @proofpoint
pētnieki apspriež divas TA505 atšķirīgas kampaņas, kurās tika izmantots AndroMut, lai lejupielādētu FlawedAmmyy. AndroMut ir rakstīts C ++ un ir sava veida lejupielādētājs.
Emuārs: https://t.co/vIDcrhKQ3z
Paraugi: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 2019. gada 3. jūlijs
Kiberdrošības pētnieki, pamatojoties uz vairāku aizdomīgu e-pasta ziņojumu un citu elektronisko sakaru un plašsaziņas līdzekļu veidu analīzi Pierādījums ir norādījuši, ka hakeru grupa, šķiet, ir vērsta uz banku darbiniekiem un citiem finanšu pakalpojumu sniedzējiem. Pētnieki arī ir atklājuši jauna veida sarežģītu ļaunprogrammatūru izmantošanu. Pētnieki to sauc par AndroMut un ir atklājuši, ka ļaunprogrammatūrai ir diezgan daudz līdzību ar Andromeda. Izstrādāts un izvietots pilnīgi atšķirīgā hakeru grupā, Andromeda ir bijis viens no veiksmīgāk izpildītajiem, bīstamākajiem un viens no lielākajiem ļaunprogrammatūru robottīklu tīkliem pasaulē. Līdz 2017. gadam Andromeda plaši izplatījās un veiksmīgi instalēja sevi neaizsargātajos datoros, kuros darbojas Windows operētājsistēma.
Kā TA505 grupa veic ļaunprātīgas programmatūras uzbrukumu?
Tāpat kā lielākā daļa citu TA505 grupas uzbrukumu, arī jaunā AndroMut ļaunprātīgā programmatūra tiek izplatīta, izmantojot likumīga izskata e-pastus. Pikšķerēšanas uzbrukumi ietver e-pastus, kas izskatās un jūtas ļoti oficiāli un autentiski. Šādos e-pastos parasti tiek apgalvots, ka tajos ir rēķini un citi dokumenti, kas it kā saistīti ar banku un finansēm. Pikšķerēšanā izmantotie e-pasti bieži tiek rūpīgi izveidoti. Lai gan vairākos e-pastos ir populārs PDF dokuments, šķiet, ka pikšķerēšanas e-pasta ziņojumi no grupas TA505 paļaujas uz Word dokumentiem.
https://twitter.com/rsz619mania/status/1146387091598667777
Kad nenojaušais upuris atver saitēto Word dokumentu, grupa turpina uzbrukumu paļauties uz sociālo inženieriju. Tas var izklausīties sarežģīti, taču patiesībā uzbrukums balstās uz diezgan senu Word dokumentu “makro” metodi. Mērķi tiek informēti, ka informācija ir “aizsargāta”, un viņiem ir jāļauj rediģēt, lai redzētu tās saturu. Šādi rīkojoties, tiek iespējoti makro un ļauj AndroMut piegādāt mašīnā. Pēc tam šī ļaunprātīgā programmatūra diskrēti lejupielādē FlawedAmmyy. Kad abi ir uzstādīti, cietušo mašīnas tiek pilnībā apdraudētas.
Kas ir AndroMut un kā darbojas daudzpakāpju ļaunprātīga programmatūra?
TA505 pašlaik izmanto AndroMut kā pirmo posmu divu posmu uzbrukumā. Citiem vārdiem sakot, AndroMut ir veiksmīgas infekcijas un cietušo datoru kontroles pirmā daļa. Kad tas ir veiksmīgi iekļuvis, AndroMut izmanto infekciju, lai diskrēti nomestu otro lietderīgo kravu uz apdraudētās mašīnas. Otro ļaunprātīgā koda lietderīgo kravu sauc par FlawedAmmyy. Būtībā FlawedAmmyy ir spēcīgs un efektīvs attālās piekļuves Trojan vai RAT.
Agresīvā otrā posma RAT FlawedAmmyy ir virulenta ļaunprātīga programmatūra, kas nodrošina attālu piekļuvi upuru datoriem. Uzbrucēji var iegūt attālās administratīvās privilēģijas. Iekļuvuši uzbrukumā, uzbrucējiem ir pilnīga piekļuve failiem, akreditācijas datiem un citam.
Starp citu, dati paši par sevi nav mērķis. Citiem vārdiem sakot, datu nozagšana nav galvenais nodoms. Kā daļa no rakursa TA505 grupa ir pēc informācijas, kas viņiem piešķir piekļuvi banku un citu finanšu iestāžu iekšējam tīklam.
TA505 palaiž AndroMut ļaunprātīgu programmatūru https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 2019. gada 3. jūlijs
TA505 grupa seko naudai, sakiet eksperti:
Runājot par hakeru grupas darbību, Kriss Dosons, draudu izlūkošanas vadībā Pierādījums teica: 'A505 virzība uz RAT un lejupielāžu izplatīšanu galvenokārt daudz mērķtiecīgākās kampaņās, nekā viņi iepriekš bija nodarbojušies ar Trojas zirgu un izpirkumu programmatūru, liecina par būtiskām izmaiņām viņu taktikā. Būtībā grupa turpinās pēc augstākas kvalitātes infekcijām ar ilgtermiņa monetizācijas potenciālu - kvalitāti, nevis daudzumu. ”
Kibernoziedznieki būtībā pilnveido savus uzbrukumus un izvēlas savus mērķus, nevis rīko masveida e-pasta kampaņas un cer sagūstīt upurus. Viņi meklē datus un, vēl svarīgāk, slepenu informāciju, lai nozagtu naudu. Jaunākais rakurss būtībā ir tikai hakeru piemērs tirgum un naudai. Tāpēc stratēģijas maiņu nevajadzētu uzskatīt par pastāvīgu, novēroja Dawson: 'Kas nav skaidrs, ir šīs maiņas galīgais rezultāts vai beigu spēle. A505 ļoti seko naudai, pielāgojoties globālajām tendencēm un izpētot jaunas ģeogrāfiskās vietas un kravas, lai maksimāli palielinātu to atdevi. ”
Tagi ļaunprātīgu programmatūru
![[FIX] Nevar palaist LOTRO operētājsistēmā Windows 10](https://jf-balio.pt/img/how-tos/27/cannot-launch-lotro-windows-10.jpg)
