Οι ομάδες Hacking Pro στρέφονται σε νέα μορφή κακόβουλου λογισμικού με το 'AndroMut', στοχεύοντας οικονομικές πληροφορίες και τράπεζες που χρησιμοποιούν κοινωνική μηχανική

Νέα
Ασφάλεια / Οι ομάδες Hacking Pro στρέφονται σε νέα μορφή κακόβουλου λογισμικού με το 'AndroMut', στοχεύοντας οικονομικές πληροφορίες και τράπεζες που χρησιμοποιούν κοινωνική μηχανική 4 λεπτά ανάγνωση

Εικονογράφηση κυβερνοασφάλεια



Μια επαγγελματική ομάδα πειρατείας με εξελιγμένες τεχνικές για την εκτέλεση ηλεκτρονικού ψαρέματος και άλλων μορφών επιθέσεων κακόβουλου λογισμικού φαίνεται να αλλάζει την κατεύθυνση της. Με σαφή στόχο να δώσει προτεραιότητα στην ποιότητα έναντι της ποσότητας, η διαβόητη ομάδα χάκερ TA505 έχει περιστραφεί χρησιμοποιώντας μια νέα μορφή κακόβουλου κώδικα που ονομάζεται AndroMut. Είναι ενδιαφέρον ότι το κακόβουλο λογισμικό φαίνεται να είναι εμπνευσμένο από την Andromeda. Αρχικά σχεδιάστηκε από μια άλλη ομάδα πειρατείας, η Andromeda ήταν ένα από τα μεγαλύτερα botnets κακόβουλου λογισμικού στον κόσμο μόλις το 2017. Το Botnets που βασίστηκε στον κώδικα Andromeda εκτέλεσε με επιτυχία την παράδοση ωφέλιμου φορτίου σε αρκετούς ύποπτους και ευάλωτους υπολογιστές που λειτουργούν με λειτουργικό σύστημα Windows. Το AndroMut φαίνεται να βασίζεται σε μεγάλο βαθμό σε αυτόν τον ίδιο κώδικα Andromeda που δείχνει πιθανή συνεργασία μεταξύ των ομάδων χάκερ.

Μία από τις πιο επιτυχημένες ομάδες στον κόσμο για εγκλήματα στον κυβερνοχώρο, που αυτοαποκαλούνται TA505, φαίνεται να έχει αλλάξει την τακτική της. Ως μέρος της τελευταίας κακόβουλης εκστρατείας επίθεσης και κλοπής οικονομικών πληροφοριών, η ομάδα απασχολεί τη διανομή μιας νέας μορφής κακόβουλου λογισμικού. Αντί να στοχεύει μεγάλο αριθμό ατόμων, ως μέρος του άξονα, ο όμιλος TA505 φαίνεται να ακολουθεί τράπεζες και άλλες χρηματοοικονομικές υπηρεσίες. Παρεμπιπτόντως, το σημείο εισόδου ή προέλευσης παραμένει το ίδιο, αλλά ο επιδιωκόμενος στόχος και εστίαση φαίνεται να είναι στον οργανωμένο χρηματοπιστωτικό τομέα. Παρεμπιπτόντως, οι χρηματοοικονομικές εταιρείες στις ΗΠΑ, τα Ηνωμένα Αραβικά Εμιράτα και τη Σιγκαπούρη συνιστάται να είναι σε εγρήγορση και να αναζητούν τυχόν ύποπτο περιεχόμενο. Μερικά από τα πιο συνηθισμένα σημεία της επίθεσης παραμένουν τα επίσημα email.



Ο Όμιλος TA505 χρησιμοποιεί τη βάση Andromeda για την ανάπτυξη και ανάπτυξη του AndroMut

Η διαβόητη ομάδα TA505 φαίνεται ότι αύξησε την έντασή της τον τελευταίο μήνα και συνέχισε με την ίδια αγριότητα. Δεν προσπαθεί πλέον να αναπτύξει τυχαία κύματα επιθέσεων που προσπαθούν να αποκτήσουν τον έλεγχο των μηχανών των θυμάτων. Με άλλα λόγια, τα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phishing) δεν είναι πλέον η προτιμώμενη τακτική. Αντίθετα, η ομάδα TA505 έχει μειώσει σημαντικά τον όγκο των επιθέσεων και έχει αλλάξει σαφώς σε πιο στοχευμένες επιθέσεις.



Με βάση την ανάλυση πολλών ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου και άλλων μορφών ηλεκτρονικής επικοινωνίας και μέσων, ερευνητές ασφάλειας στον κυβερνοχώρο στο Απόδειξη έχουν δηλώσει ότι η ομάδα των χάκερ φαίνεται να στοχεύει υπαλλήλους τραπεζών και άλλων παρόχων χρηματοοικονομικών υπηρεσιών. Οι ερευνητές αποκάλυψαν επίσης τη χρήση μιας νέας μορφής εξελιγμένου κακόβουλου λογισμικού. Οι ερευνητές το αποκαλούν AndroMut και ανακάλυψαν ότι το κακόβουλο λογισμικό έχει αρκετές ομοιότητες με το Andromeda. Σχεδιασμένο και σχεδιασμένο από μια εντελώς διαφορετική ομάδα χάκερ, η Andromeda υπήρξε ένα από τα πιο επιτυχημένα, επικίνδυνα και ένα από τα μεγαλύτερα δίκτυα botnets κακόβουλου λογισμικού στον κόσμο. Μέχρι το 2017, η Andromeda εξαπλώθηκε πολύ και εγκαθίσταται με επιτυχία σε ευάλωτους υπολογιστές με λειτουργικό σύστημα Windows.

Πώς εκτελεί η ομάδα TA505 την επίθεση κακόβουλου λογισμικού;

Όπως και οι περισσότερες επιθέσεις της ομάδας TA505, το νέο κακόβουλο λογισμικό του AndroMut διανέμεται και μέσω νόμιμων email. Οι επιθέσεις ηλεκτρονικού ψαρέματος περιλαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται και αισθάνονται εξαιρετικά επίσημα και αυθεντικά. Τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίζονται συνήθως ότι περιέχουν τιμολόγια και άλλα έγγραφα που ισχυρίζονται ότι σχετίζονται με τραπεζικές και χρηματοοικονομικές. Τα μηνύματα ηλεκτρονικού ταχυδρομείου που χρησιμοποιούνται στο ηλεκτρονικό 'ψάρεμα' συχνά δημιουργούνται επίπονα. Αν και πολλά email περιέχουν το δημοφιλές έγγραφο PDF, τα email phishing από την ομάδα TA505 φαίνεται να βασίζονται σε έγγραφα του Word.

https://twitter.com/rsz619mania/status/1146387091598667777

Μόλις το ανυποψίαστο θύμα ανοίξει το δεμένο έγγραφο του Word, η ομάδα βασίζεται στην κοινωνική μηχανική για να συνεχίσει την επίθεση. Αυτό μπορεί να ακούγεται περίπλοκο, αλλά στην πραγματικότητα, η επίθεση βασίζεται σε μια μάλλον αρχαία μέθοδο «μακροεντολών» στο έγγραφο του Word. Οι στόχοι ενημερώνονται ότι οι πληροφορίες είναι «προστατευμένες» και πρέπει να επιτρέπουν την επεξεργασία για να δείτε το περιεχόμενό της. Με αυτόν τον τρόπο ενεργοποιούνται οι μακροεντολές και επιτρέπει την παράδοση του AndroMut στο μηχάνημα. Αυτό το κακόβουλο λογισμικό στη συνέχεια κατεβάζει διακριτικά το FlawedAmmyy. Μόλις εγκατασταθούν και οι δύο, οι μηχανές των θυμάτων διακυβεύονται πλήρως.

Τι είναι το AndroMut και πώς λειτουργεί το κακόβουλο λογισμικό πολλαπλών σταδίων;

Το TA505 χρησιμοποιεί επί του παρόντος το AndroMut ως το πρώτο στάδιο σε επίθεση δύο σταδίων. Με άλλα λόγια, το AndroMut είναι το πρώτο μέρος μιας επιτυχούς μόλυνσης και ελέγχου των υπολογιστών των θυμάτων. Μόλις επιτύχει στη διείσδυση, το AndroMut χρησιμοποιεί τη λοίμωξη για να ρίξει διακριτικά ένα δεύτερο ωφέλιμο φορτίο στο μηχάνημα που έχει παραβιαστεί. Το δεύτερο ωφέλιμο φορτίο κακόβουλου κώδικα ονομάζεται FlawedAmmyy. Ουσιαστικά, το FlawedAmmyy είναι ένα ισχυρό και αποδοτικό Trojan Remote RAT ή RAT.

Το επιθετικό RAT FlawedAmmyy δεύτερου σταδίου είναι ένα μολυσματικό κακόβουλο λογισμικό που παρέχει απομακρυσμένη πρόσβαση στους υπολογιστές των θυμάτων. Οι εισβολείς μπορούν να αποκτήσουν απομακρυσμένα δικαιώματα διαχειριστή. Μόλις μπουν μέσα, οι εισβολείς έχουν πλήρη πρόσβαση σε αρχεία, διαπιστευτήρια και άλλα.

Παρεμπιπτόντως, τα δεδομένα από μόνα τους δεν είναι ο στόχος. Με άλλα λόγια, η κλοπή δεδομένων δεν είναι η πρωταρχική πρόθεση. Ως μέρος του άξονα, ο όμιλος TA505 ακολουθεί πληροφορίες που τους παρέχει πρόσβαση στο εσωτερικό δίκτυο τραπεζών και άλλων χρηματοπιστωτικών ιδρυμάτων.

Η ομάδα TA505 ακολουθεί τα χρήματα, λένε οι ειδικοί:

Μιλώντας για τις δραστηριότητες της ομάδας hacking, Chris Dawson, επικεφαλής πληροφοριών απειλής στο Απόδειξη είπε, «η κίνηση του A505 να διανέμει πρωτίστως RAT και downloaders σε πολύ πιο στοχευμένες καμπάνιες από ό, τι στο παρελθόν χρησιμοποιούσε τραπεζικά Trojans και ransomware υποδηλώνει μια θεμελιώδη αλλαγή στην τακτική τους. Ουσιαστικά η ομάδα αντιμετωπίζει μολύνσεις υψηλότερης ποιότητας με δυνατότητα μακροπρόθεσμης δημιουργίας εσόδων - ποιότητα έναντι ποσότητας.

Οι εγκληματίες του κυβερνοχώρου ουσιαστικά βελτιώνουν τις επιθέσεις τους και επιλέγουν τους στόχους τους αντί να πραγματοποιούν μαζικές εκστρατείες ηλεκτρονικού ταχυδρομείου και ελπίζουν να εμπλακούν στα θύματα. Ακολουθούν τα δεδομένα, και το πιο σημαντικό, ευαίσθητες πληροφορίες, για να κλέψουν χρήματα. Ο τελευταίος άξονας είναι ουσιαστικά ένα παράδειγμα χάκερ που ακολουθεί την αγορά και τα χρήματα. Ως εκ τούτου, η αλλαγή της στρατηγικής δεν πρέπει να θεωρείται μόνιμη, παρατηρεί ο Dawson, «Αυτό που δεν είναι σαφές είναι το τελικό αποτέλεσμα ή το τελικό παιχνίδι αυτής της αλλαγής. Το A505 ακολουθεί πολύ τα χρήματα, προσαρμόζεται στις παγκόσμιες τάσεις και εξερευνά νέες γεωγραφικές περιοχές και ωφέλιμα φορτία για να μεγιστοποιεί τις αποδόσεις τους. '

Ανάκτηση κάρτας linux sd
Ετικέτες κακόβουλο λογισμικό