Pro Hacking Groups pivoterar till ny form av skadlig programvara med 'AndroMut', inriktar sig på finansiell information och banker som använder socialteknik

En professionell hackgrupp med sofistikerade tekniker för att utföra nätfiske och andra former av skadliga attacker verkar förändra riktningen. Med ett tydligt mål att prioritera kvalitet framför kvantitet har den ökända TA505-gruppen av hackare svängt med hjälp av en ny form av skadlig kod med namnet AndroMut. Intressant nog verkar skadlig programvara vara inspirerad av Andromeda. Ursprungligen designad av en annan hackinggrupp var Andromeda en av de största skadliga botnäten i världen så nyligen som 2017. Botnets baserade på Andromedakoden körde framgångsrikt sin leverans av nyttolast på flera misstänkta och sårbara datorer som kör Windows operativsystem. AndroMut verkar till stor del baseras på just denna Andromedakod som indikerar ett möjligt samarbete mellan hackargrupperna.

En av världens mest framgångsrika cyberkriminella grupper, som kallar sig TA505, verkar ha förändrat sin taktik. Som en del av den senaste skadliga kampanjen för att attackera och stjäla finansiell information är gruppen upptagen med att distribuera en ny form av skadlig kod. Istället för att rikta in sig på ett stort antal individer, som en del av pivoten, verkar TA505-gruppen gå efter banker och andra finansiella tjänster. Förresten förblir inträdet eller ursprunget detsamma, men det avsedda målet och fokus verkar vara på den organiserade finanssektorn. Förresten rekommenderas finansiella företag i USA, Förenade Arabemiraten och Singapore att vara i beredskap och leta efter misstänkt innehåll. Några av de vanligaste punkterna i attacken återstår att vara e-postmeddelanden som ser officiellt ut.

TA505 Group använder Andromeda Base för att utveckla och distribuera AndroMut

Den ökända TA505-gruppen verkar ha ökat sin intensitet under den senaste månaden och har fortsatt med samma hårdhet. Det försöker inte längre distribuera slumpmässiga vågor av attacker som försöker få kontroll över offrens maskiner. Med andra ord är massfiske-e-postmeddelanden inte längre den föredragna taktiken. Istället har TA505-gruppen sänkt volymen av attacker avsevärt och har tydligt bytt till mer riktade attacker.

Baserat på analysen av flera misstänkta e-postmeddelanden och andra former av elektronisk kommunikation och media, har cybersäkerhetsforskare vid Bevispunkt har angett att gruppen hackare verkar rikta sig till anställda i banker och andra finansiella tjänsteleverantörer. Forskarna har också upptäckt användningen av en ny form av sofistikerad skadlig kod. Forskarna kallar det AndroMut och har upptäckt att skadlig programvara har en hel del likheter med Andromeda. Andromeda har designats och distribuerats av en helt annan grupp hackare och har varit en av de mest framgångsrika, exekverade, farliga och ett av världens största nätverk av skadliga bottenätverk. Fram till 2017 spred sig Andromeda i stor utsträckning och installerade sig framgångsrikt på sårbara datorer som kör Windows-operativsystemet.

Hur utför TA505-gruppen Malware Attack?

Liksom de flesta av de andra TA505-gruppens attacker distribueras också den nya AndroMut-skadlig programvaran via legitimt utseende. Phishing-attackerna innefattar e-postmeddelanden som ser ut och känns mycket officiella och autentiska. Sådana e-postmeddelanden hävdar vanligtvis att de innehåller fakturor och andra dokument som påstås vara relaterade till bank och finans. E-postmeddelanden som används vid nätfiske skapas ofta noggrant. Även om flera e-postmeddelanden innehåller det populära PDF-dokumentet verkar phishing-e-postmeddelanden från TA505-gruppen förlita sig på Word-dokument.

https://twitter.com/rsz619mania/status/1146387091598667777

När det intet ont anande offeret öppnar det snörda Word-dokumentet förlitar sig gruppen på socialteknik för att fortsätta attacken. Detta kan låta komplicerat, men faktiskt förlitar sig attacken på en ganska gammal metod för "makron" i Word-dokument. Mål informeras om att informationen är ”skyddad” och att de måste möjliggöra redigering för att se dess innehåll. Genom att göra detta kan makron och AndroMut levereras till maskinen. Denna skadliga program hämtar sedan diskret FlawedAmmyy. När båda är installerade äventyras offrenas maskiner helt.

Vad är AndroMut och hur fungerar flerstegs skadlig kod?

TA505 använder för närvarande AndroMut som det första steget i en tvåstegsattack. Med andra ord är AndroMut den första delen av en framgångsrik infektion och kontroll av offrens datorer. När väl framgångsrik penetration använder AndroMut infektionen för att diskret släppa en andra nyttolast på den komprometterade maskinen. Den andra nyttolasten med skadlig kod heter FlawedAmmyy. I grund och botten är FlawedAmmyy en kraftfull och effektiv fjärråtkomst Trojan eller RAT.

Den aggressiva andra etappen RAT FlawedAmmyy är en virulent skadlig kod som ger fjärråtkomst till offrens datorer. Angripare kan få administrativa privilegier på distans. En gång inuti har angriparna fullständig åtkomst till filer, referenser och mer.

För övrigt är uppgifterna inte i sig målet. Med andra ord är det inte den primära avsikten att stjäla data. Som en del av ledpunkten är TA505-gruppen ute efter information som ger dem tillgång till det interna nätverket av banker och andra finansinstitut.

TA505-gruppen följer pengarna, säg experter:

På tal om aktiviteterna i hackinggruppen, Chris Dawson, hotinformation ledar vid Bevis sade, ”A505: s övergång till att främst distribuera RAT: er och nedladdare i mycket mer riktade kampanjer än vad de tidigare använde med banktrojaner och ransomware antyder en grundläggande förändring i deras taktik. I huvudsak går gruppen efter infektioner av högre kvalitet med potential för långsiktig intäktsgenerering - kvalitet över kvantitet. ”

Cyberbrottslingar finjusterar i huvudsak sina attacker och väljer sina mål istället för att genomföra massiva e-postkampanjer och hoppas fånga offer. De är ute efter uppgifterna, och ännu viktigare, känslig information, för att stjäla pengar. Den senaste pivoten är i princip bara ett exempel på hackare som följer marknaden och pengar. Därför bör strategiförändringen inte betraktas som permanent, konstaterade Dawson, ”Det som inte är klart är det slutliga resultatet eller slutspelet för detta skifte. A505 följer mycket pengarna, anpassar sig till globala trender och utforskar nya geografier och nyttolaster för att maximera deras avkastning. ”

Facebook Twitter Google Plus Pinterest