Logo lv.nowadaytechnol.com

Pro Uzlaušanas Grupas Virzās Uz Jaunu ļaunprātīgas Programmatūras Veidu Ar “AndroMut”, Mērķējot Finanšu Informāciju Un Bankas, Izmantojot Sociālo Inženieriju

Satura rādītājs:

Pro Uzlaušanas Grupas Virzās Uz Jaunu ļaunprātīgas Programmatūras Veidu Ar “AndroMut”, Mērķējot Finanšu Informāciju Un Bankas, Izmantojot Sociālo Inženieriju
Pro Uzlaušanas Grupas Virzās Uz Jaunu ļaunprātīgas Programmatūras Veidu Ar “AndroMut”, Mērķējot Finanšu Informāciju Un Bankas, Izmantojot Sociālo Inženieriju

Video: Pro Uzlaušanas Grupas Virzās Uz Jaunu ļaunprātīgas Programmatūras Veidu Ar “AndroMut”, Mērķējot Finanšu Informāciju Un Bankas, Izmantojot Sociālo Inženieriju

Video: Pro Uzlaušanas Grupas Virzās Uz Jaunu ļaunprātīgas Programmatūras Veidu Ar “AndroMut”, Mērķējot Finanšu Informāciju Un Bankas, Izmantojot Sociālo Inženieriju
Video: Kustība uz priekšu ar pēdas pirkstiem 2024, Marts
Anonim
Image
Image

šķiet, ka profesionāla uzlaušanas grupa ar sarežģītām metodēm pikšķerēšanas un cita veida ļaunprātīgas programmatūras uzbrukumu veikšanai maina tās virzienu. Ar skaidru mērķi noteikt prioritāti kvalitātei, nevis kvantitātei, bēdīgi slavenā hakeru grupa TA505 ir pagriezta, izmantojot jaunu ļaunprātīga koda formu ar nosaukumu AndroMut. Interesanti, ka ļaunprogrammatūra, šķiet, ir iedvesmojusies no Andromeda. Sākotnēji Andromed izstrādāja cita hakeru grupa, un tas bija viens no lielākajiem ļaunprogrammatūras robottīkliem pasaulē vēl 2017. gadā. Uz Andromedcode bāzes izveidoti robottīkli veiksmīgi veica kravas piegādi vairākos aizdomīgos un neaizsargātos datoros, kuros darbojas Windows operētājsistēma. Šķiet, ka AndroMut pamatā ir tieši šis Andromedcode, kas norāda uz iespējamo sadarbību starp hakeru grupām.

Viena no pasaules veiksmīgākajām kibernoziedznieku grupām, kas sevi dēvē par TA505, šķiet, ir mainījusi tās taktiku. Jaunākās ļaunprātīgas uzbrukuma un finanšu informācijas zagšanas kampaņas ietvaros grupa ir aizņemta ar jauna veida ļaunprātīgas programmatūras izplatīšanu. Tā vietā, lai vērstos pret lielu personu skaitu, kā daļa no rakursa, šķiet, ka TA505 grupa iet pēc bankām un citiem finanšu pakalpojumiem. Starp citu, ieceļošanas vai sākuma punkts paliek nemainīgs, bet paredzētais mērķis un uzmanība, šķiet, ir organizētajā finanšu sektorā. Starp citu, finanšu kompānijām ASV, Apvienotajos Arābu Emirātos un Singapūrā ieteicams būt ļoti piesardzīgiem un meklēt jebkādu aizdomīgu saturu. Daži no biežākajiem uzbrukuma punktiem joprojām ir oficiāla izskata e-pasta ziņojumi.

TA505 grupa izmanto AndromedBase, lai izstrādātu un ieviestu AndroMut

Šķiet, ka bēdīgi slavenā TA505 grupa pēdējā mēneša laikā ir palielinājusi intensitāti un turpinājusi to pašu mežonību. Tas vairs nemēģina izvietot nejaušus uzbrukumu viļņus, kas mēģina iegūt kontroli pār upuru mašīnām. Citiem vārdiem sakot, masveida pikšķerēšanas e-pasta ziņojumi vairs nav ieteicamā taktika. Tā vietā TA505 grupa ir ievērojami samazinājusi uzbrukumu apjomu un nepārprotami ir pārgājusi uz mērķtiecīgākiem uzbrukumiem.

Jauks pieraksts no @proofpointpētnieki apspriež divas atšķirīgas TA505 kampaņas, kurās tika izmantots AndroMut, lai lejupielādētu FlawedAmmyy. AndroMut ir rakstīts C ++ un ir lejupielādes veids

Emuārs:

Paraugi:

- InQuest (@InQuest) 2019. gada 3. jūlijs

Balstoties uz vairāku aizdomīgu e-pastu un citu elektronisko sakaru un plašsaziņas līdzekļu veidu analīzi, kiberdrošības pētnieki Proofpoint ir norādījuši, ka hakeru grupa, šķiet, ir vērsta uz banku darbiniekiem un citiem finanšu pakalpojumu sniedzējiem. Pētnieki arī ir atklājuši jauna veida sarežģītu ļaunprogrammatūru izmantošanu. Pētnieki to sauc par AndroMut un ir atklājuši, ka ļaunprogrammatūrai ir diezgan maz līdzību ar Andromeda. Izstrādāts un izvietots pilnīgi atšķirīgā hakeru grupā, Andromeds ir bijis viens no veiksmīgāk izpildītajiem, bīstamākajiem un viens no lielākajiem ļaunprogrammatūru robottīklu tīkliem pasaulē. Līdz 2017. gadam Andromed plaši izplatījās un veiksmīgi instalēja sevi neaizsargātos datoros, kuros darbojas Windows operētājsistēma.

Kā TA505 grupa veic ļaunprātīgas programmatūras uzbrukumu?

Tāpat kā lielākā daļa citu TA505 grupas uzbrukumu, arī jaunā AndroMut ļaunprātīgā programmatūra tiek izplatīta, izmantojot likumīga izskata e-pastus. Pikšķerēšanas uzbrukumi ietver e-pastus, kas izskatās un jūtas ļoti oficiāli un autentiski. Šādos e-pastos parasti tiek apgalvots, ka tajos ir rēķini un citi dokumenti, kas it kā saistīti ar banku un finansēm. Pikšķerēšanā izmantotie e-pasti bieži tiek rūpīgi izveidoti. Lai gan vairākos e-pastos ir populārs PDF dokuments, šķiet, ka pikšķerēšanas e-pasta ziņojumi no grupas TA505 paļaujas uz Word dokumentiem.

twitter.com/rsz619mania/status/1146387091598667777

Kad nenojaušais upuris atver saitēto Word dokumentu, grupa paļaujas uz sociālo inženieriju, lai turpinātu uzbrukumu. Tas var izklausīties sarežģīti, bet patiesībā uzbrukums ir balstīts uz diezgan senu “makro” metodi Word dokumentā. Mērķi tiek informēti, ka informācija ir “aizsargāta”, un viņiem ir jāļauj rediģēt, lai redzētu tās saturu. To darot, tiek iespējoti makro un ļauj AndroMut nogādāt mašīnā. Pēc tam šī ļaunprātīgā programmatūra diskrēti lejupielādē FlawedAmmyy. Kad abi ir uzstādīti, cietušo mašīnas tiek pilnībā apdraudētas.

Kas ir AndroMut un kā darbojas daudzpakāpju ļaunprātīga programmatūra?

TA505 pašlaik izmanto AndroMut kā pirmo posmu divu posmu uzbrukumā. Citiem vārdiem sakot, AndroMut ir veiksmīgas infekcijas un cietušo datoru kontroles pirmā daļa. Kad tas ir veiksmīgi iekļuvis, AndroMut izmanto infekciju, lai diskrēti nomestu otro lietderīgo slodzi uz apdraudēto mašīnu. Otro ļaunprātīgā koda lietderīgo kravu sauc par FlawedAmmyy. Būtībā FlawedAmmyy ir spēcīgs un efektīvs attālās piekļuves Trojan vai RAT.

Agresīvā otrā posma RAT FlawedAmmyy ir virulenta ļaunprātīga programmatūra, kas nodrošina attālu piekļuvi upuru datoriem. Uzbrucēji var iegūt attālās administratīvās privilēģijas. Iekļuvuši uzbrucējiem, ir pilnīga piekļuve failiem, akreditācijas datiem un citam.

Starp citu, dati paši par sevi nav mērķis. Citiem vārdiem sakot, datis zagšana nav galvenais mērķis. Kā daļa no rakursa TA505 grupa ir pēc informācijas, kas viņiem piešķir piekļuvi banku un citu finanšu iestāžu iekšējam tīklam.

TA505 lance le logiciel malveillant AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 2019. gada 3. jūlijs

TA505 grupa seko naudai, sakiet eksperti:

Runājot par hakeru grupas aktivitātēm, Kriss Dosons, draudu izlūkošanas vadošais vadītājs Proofpoint teica: A505 pāreja uz RAT un lejupielādētāju galvenokārt izplatīšanu daudz mērķtiecīgākās kampaņās, nekā viņi iepriekš bija nodarbojušies ar Trojas zirgu un izpirkumu programmatūru, liecina par būtisku viņu taktikas maiņu. Būtībā grupa iet pēc kvalitatīvākām infekcijām ar ilgtermiņa monetizācijas potenciālu - kvalitāti, nevis daudzumu.”

Kibernoziedznieki būtībā pilnveido savus uzbrukumus un izvēlas savus mērķus, nevis rīko masveida e-pasta kampaņas un cer sagūstīt upurus. Viņi pēc datiem un, vēl svarīgāk, slepenas informācijas, meklē naudu. Jaunākais rakurss būtībā ir tikai piemērs, kā hakeri seko tirgum un naudai. Tāpēc stratēģijas maiņu nevajadzētu uzskatīt par pastāvīgu, novēroja Dawson: Kas nav skaidrs, ir šīs maiņas galīgais rezultāts vai beigu spēle. A505 ļoti seko līdzi naudai, pielāgojoties globālajām tendencēm un izpētot jaunas ģeogrāfiskās vietas un kravas, lai maksimāli palielinātu to atdevi.”

Ieteicams: