Logo it.nowadaytechnol.com

I Gruppi Di Hacking Professionisti Si Stanno Orientando Verso Una Nuova Forma Di Malware Con "AndroMut", Mirando Alle Informazioni Finanziarie E Alle Banche Che Utilizzan

Sommario:

I Gruppi Di Hacking Professionisti Si Stanno Orientando Verso Una Nuova Forma Di Malware Con "AndroMut", Mirando Alle Informazioni Finanziarie E Alle Banche Che Utilizzan
I Gruppi Di Hacking Professionisti Si Stanno Orientando Verso Una Nuova Forma Di Malware Con "AndroMut", Mirando Alle Informazioni Finanziarie E Alle Banche Che Utilizzan

Video: I Gruppi Di Hacking Professionisti Si Stanno Orientando Verso Una Nuova Forma Di Malware Con "AndroMut", Mirando Alle Informazioni Finanziarie E Alle Banche Che Utilizzan

Video: I Gruppi Di Hacking Professionisti Si Stanno Orientando Verso Una Nuova Forma Di Malware Con "AndroMut", Mirando Alle Informazioni Finanziarie E Alle Banche Che Utilizzan
Video: I Malware (2 di 2) - Conosciamo bene a fondo le differenze. 2024, Marzo
Anonim
Image
Image

gruppo di hacker professionisti con tecniche sofisticate per eseguire phishing e altre forme di attacchi malware sembra stia cambiando la sua direzione. Con l'obiettivo chiaro di dare la priorità alla qualità rispetto alla quantità, il famigerato gruppo di hacker TA505 si è orientato utilizzando una nuova forma di codice dannoso chiamato AndroMut. È interessante notare che il malware sembra essere ispirato da Andromeda. Progettato originariamente da un altro gruppo di hacker, Andromed era una delle più grandi botnet di malware al mondo nel 2017. Le botnet basate su Andromedcode hanno eseguito con successo la consegna del payload su diversi PC sospetti e vulnerabili con sistema operativo Windows. L'AndroMut sembra essere in gran parte basato su questo codice Andromed che indica una possibile collaborazione tra i gruppi di hacker.

Uno dei gruppi di criminali informatici di maggior successo al mondo, che si fa chiamare TA505, sembra aver modificato le sue tattiche. Nell'ambito dell'ultima campagna dannosa di attacco e furto di informazioni finanziarie, il gruppo è impegnato a distribuire nuove forme di malware. Invece di prendere di mira un gran numero di individui, come parte del perno, il gruppo TA505 sembra andare dopo le banche e altri servizi finanziari. Per inciso, il punto di ingresso o di origine rimane lo stesso, ma l'obiettivo e il focus previsti sembrano essere il settore finanziario organizzato. Per inciso, si consiglia alle società finanziarie negli Stati Uniti, negli Emirati Arabi Uniti e a Singapore di stare in allerta e di cercare qualsiasi contenuto sospetto. Alcuni dei punti più comuni dell'attacco rimangono le email dall'aspetto ufficiale.

Il gruppo TA505 utilizza AndromedBase per sviluppare e distribuire AndroMut

Il famigerato gruppo TA505 sembra aver aumentato la sua intensità durante l'ultimo mese e ha continuato con la stessa ferocia. Non sta più tentando di distribuire ondate casuali di attacchi che tentano di ottenere il controllo delle macchine delle vittime. In altre parole, le e-mail di phishing di massa non sono più le tattiche preferite. Invece, il gruppo TA505 ha notevolmente ridotto il volume degli attacchi ed è chiaramente passato ad attacchi più mirati.

Bella recensione da @proofpointricercatori che discutono di due distinte campagne di TA505 che hanno utilizzato AndroMut per scaricare FlawedAmmyy. AndroMut è scritto in C ++ ed è un tipo di downloader

Blog:

Esempi:

- InQuest (@InQuest) 3 luglio 2019

Sulla base dell'analisi di diverse e-mail sospette e di altre forme di comunicazione elettronica e media, i ricercatori sulla sicurezza informatica di Proofpoint hanno indicato che il gruppo di hacker sembra prendere di mira dipendenti di banche e altri fornitori di servizi finanziari. I ricercatori hanno anche scoperto l'uso di una nuova forma di malware sofisticato. I ricercatori lo chiamano AndroMut e hanno scoperto che il malware ha poche somiglianze con Andromeda. Progettato e implementato da un gruppo completamente diverso di hacker, Andromed è stata una delle reti di botnet malware più eseguite, pericolose e più grandi al mondo. Fino al 2017, Andromed si stava diffondendo in modo prolifico e si installava con successo su PC vulnerabili con sistema operativo Windows.

In che modo il gruppo TA505 sta eseguendo l'attacco malware?

Come la maggior parte degli altri attacchi del gruppo TA505, anche il nuovo malware AndroMut viene distribuito tramite e-mail dall'aspetto legittimo. Gli attacchi di phishing coinvolgono e-mail che sembrano altamente ufficiali e autentiche. Tali e-mail di solito affermano di contenere fatture e altri documenti che si presume siano correlati a servizi bancari e finanziari. Le e-mail utilizzate nel phishing sono spesso create con cura. Sebbene diverse e-mail contengano il popolare documento PDF, le e-mail di phishing del gruppo TA505 sembrano fare affidamento su documenti di Word.

twitter.com/rsz619mania/status/1146387091598667777

Una volta che l'ignara vittima apre il documento di Word, il gruppo si affida all'ingegneria sociale per continuare l'attacco. Questo può sembrare complicato, ma in realtà l'attacco si basa su un metodo piuttosto antico di "macro" nel documento di Word. I destinatari vengono informati che le informazioni sono "protette" e devono abilitare la modifica per visualizzarne i contenuti. Ciò abilita le macro e consente di inviare AndroMut alla macchina. Questo malware quindi scarica discretamente FlawedAmmyy. Una volta installati entrambi, le macchine delle vittime sono completamente compromesse.

Che cos'è AndroMut e come funziona il malware in più fasi?

TA505 sta attualmente utilizzando AndroMut come primo stadio di attacco a due stadi. In altre parole, AndroMut è la prima parte del successo dell'infezione e del controllo dei computer delle vittime. Una volta riuscito nella penetrazione, AndroMut utilizza l'infezione per rilasciare discretamente il secondo carico utile sulla macchina compromessa. Il secondo payload di codice dannoso è chiamato FlawedAmmyy. In sostanza, FlawedAmmyy è un Trojan o RAT di accesso remoto potente ed efficiente.

L'aggressivo RAT FlawedAmmyy di seconda fase è un malware virulento che garantisce l'accesso remoto ai computer delle vittime. Gli aggressori possono ottenere privilegi amministrativi remoti. Una volta all'interno, gli aggressori hanno accesso completo a file, credenziali e altro ancora.

Per inciso, i dati, di per sé, non sono l'obiettivo. In altre parole, rubare i dati non è l'intenzione primaria. Come parte del perno, il gruppo TA505 è alla ricerca di informazioni che gli garantiscano l'accesso alla rete interna di banche e altre istituzioni finanziarie.

TA505 lancia le logiche malveillanti AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 3 luglio 2019

Il gruppo TA505 sta seguendo i soldi, dicono gli esperti:

Parlando delle attività del gruppo di hacker, Chris Dawson, responsabile dell'intelligence sulle minacce di Proofpoint, ha dichiarato: "Il passaggio di A505 a distribuire principalmente RAT e downloader in campagne molto più mirate rispetto a quanto precedentemente impiegato con Trojan bancari e ransomware suggerisce un cambiamento fondamentale nelle loro tattiche. Essenzialmente il gruppo sta cercando infezioni di qualità superiore con il potenziale per una monetizzazione a lungo termine - qualità rispetto alla quantità ".

I criminali informatici stanno essenzialmente perfezionando i loro attacchi e stanno selezionando i loro obiettivi invece di intraprendere massicce campagne di e-mail e sperare di catturare le vittime. Sono alla ricerca dei dati e, soprattutto, delle informazioni sensibili, per rubare denaro. L'ultimo pivot è essenzialmente solo un esempio di hacker che seguono il mercato e il denaro. Quindi il cambiamento di strategia non dovrebbe essere considerato permanente, ha osservato Dawson, "Ciò che non è chiaro è il risultato finale o la fine dei giochi di questo cambiamento. A505 segue molto il denaro, adattandosi alle tendenze globali ed esplorando nuove aree geografiche e carichi utili per massimizzare i loro ritorni ".

Consigliato: