Pro-hacking-grupper drejer sig om ny form for malware med 'AndroMut', målretning mod finansiel information og banker, der bruger social engineering
En professionel hackegruppe med sofistikerede teknikker til at udføre phishing og andre former for malwareangreb ser ud til at ændre sin retning. Med et klart mål om at prioritere kvalitet frem for kvantitet har den berygtede TA505-gruppe hackere drejet ved hjælp af en ny form for ondsindet kode ved navn AndroMut. Interessant nok ser malware ud til at være inspireret af Andromeda. Oprindeligt designet af en anden hackinggruppe, Andromeda var et af de største malware botnets i verden så sent som i 2017. Botnets baseret på Andromeda-koden udførte med succes sin nyttelastelevering på flere mistænkelige og sårbare pc'er, der kører Windows-operativsystemet. AndroMut ser ud til at være stort set baseret på netop denne Andromeda-kode, der indikerer et muligt samarbejde mellem hackergrupperne.
En af verdens mest succesrige cyberkriminelle grupper, der kalder sig TA505, ser ud til at have ændret sin taktik. Som en del af den seneste ondsindede kampagne for at angribe og stjæle økonomiske oplysninger har gruppen travlt med at distribuere en ny form for malware. I stedet for at målrette mod et stort antal enkeltpersoner, som en del af omdrejningspunktet, ser det ud til, at TA505-gruppen går efter banker og andre finansielle tjenester. I øvrigt forbliver indgangs- eller oprindelsesstedet det samme, men det tilsigtede mål og fokus synes at være på den organiserede finansielle sektor. I øvrigt rådes finansielle virksomheder i USA, De Forenede Arabiske Emirater og Singapore til at være i alarmberedskab og se efter mistænkeligt indhold. Nogle af de mest almindelige punkter i angrebet er fortsat officielle e-mails.
TA505 Group bruger Andromeda Base til at udvikle og implementere AndroMut
Den berygtede TA505-gruppe ser ud til at have øget sin intensitet i løbet af den sidste måned og er fortsat med samme hårdhed. Det forsøger ikke længere at indsætte tilfældige bølger af angreb, der forsøger at få kontrol over ofrenes maskiner. Med andre ord er massefishing-e-mails ikke længere den foretrukne taktik. I stedet har TA505-gruppen sænket volumenet af angreb betydeligt og har klart skiftet til mere målrettede angreb.
Baseret på analysen af flere mistænkte e-mails og andre former for elektronisk kommunikation og medier, er cybersikkerhedsforskere ved Proofpoint har angivet, at gruppen af hackere ser ud til at være rettet mod medarbejdere i banker og andre finansielle tjenesteudbydere. Forskerne har også afdækket brugen af en ny form for sofistikeret malware. Forskerne kalder det AndroMut og har opdaget, at malware har en hel del ligheder med Andromeda. Andromeda er designet og implementeret af en helt anden gruppe hackere og har været et af de mest vellykkede, farlige og et af de største netværk af malware botnets i verden. Indtil 2017 spredte Andromeda sig hurtigt og installerede sig med succes på sårbare pc'er, der kørte Windows-operativsystemet.
Hvordan udfører TA505-gruppen malwareangrebet?
Som de fleste af de andre TA505-gruppes angreb distribueres også den nye AndroMut-malware via legitime e-mails. Phishing-angrebene involverer e-mails, der ser ud og føles meget officielle og autentiske. Sådanne e-mails hævder normalt at indeholde fakturaer og andre dokumenter, der påstås at være relateret til bank og finans. E-mails, der bruges til phishing, oprettes ofte omhyggeligt. Selvom flere e-mails indeholder det populære PDF-dokument, synes phishing-e-mails fra TA505-gruppen at stole på Word-dokumenter.
https://twitter.com/rsz619mania/status/1146387091598667777
Når det intetanende offer åbner det snørrede Word-dokument, er gruppen afhængig af social engineering for at fortsætte angrebet. Dette lyder måske kompliceret, men faktisk er angrebet afhængig af en ret gammel metode til 'makroer' i Word-dokument. Mål informeres om, at oplysningerne er 'beskyttet', og at de skal aktivere redigering for at se indholdet. Dette gør det muligt for makroer og gør det muligt at levere AndroMut til maskinen. Denne malware downloader derefter diskret FlawedAmmyy. Når begge er installeret, er ofrenes maskiner kompromitteret fuldt ud.
Hvad er AndroMut, og hvordan fungerer multistage-malware?
TA505 bruger i øjeblikket AndroMut som den første fase i et to-trins angreb. AndroMut er med andre ord den første del af en vellykket infektion og kontrol af ofrenes computere. Når vellykket gennemtrængning bruger AndroMut infektionen til diskret at droppe en ny nyttelast på den kompromitterede maskine. Den anden nyttelast med ondsindet kode kaldes FlawedAmmyy. I det væsentlige er FlawedAmmyy en kraftfuld og effektiv Remote Access Trojan eller RAT.
Den aggressive anden-trins RAT FlawedAmmyy er en virulent malware, der giver fjernadgang til ofrenes computere. Angribere kan få fjernadministrative privilegier. Når de er inde, har angribere fuld adgang til filer, legitimationsoplysninger og mere.
I øvrigt er dataene ikke i sig selv målet. Med andre ord er stjæling af data ikke den primære hensigt. Som en del af omdrejningspunktet er TA505-gruppen efter information, der giver dem adgang til det interne netværk af banker og andre finansielle institutioner.
TA505 Group følger pengene, siger eksperter:
Taler om aktiviteterne i hacking-gruppen, Chris Dawson, trussel intelligens føre på Proofpoint sagde, ”A505's overgang til primært at distribuere RAT'er og downloadere i meget mere målrettede kampagner, end de tidligere havde brugt med bank-trojanere og ransomware, antyder et grundlæggende skift i deres taktik. I det væsentlige går gruppen efter infektioner af højere kvalitet med potentiale for længerevarende indtægtsgenerering - kvalitet frem for kvantitet. ”
Cyberkriminelle finjusterer i det væsentlige deres angreb og vælger deres mål i stedet for at foretage massive e-mail-kampagner og håber på at fange ofre. De er efter dataene, og vigtigere, følsomme oplysninger, for at stjæle penge. Den seneste drejning er i det væsentlige kun et eksempel på hackere, der følger markedet og penge. Derfor bør strategiskiftet ikke betragtes som permanent, bemærkede Dawson, ”Hvad der ikke er klart er det ultimative resultat eller slutspil af dette skift. A505 følger meget pengene, tilpasser sig globale tendenser og udforsker nye geografiske områder og nyttelast for at maksimere deres afkast. ”