Ilustrasi keselamatan siber
Kumpulan penggodam profesional dengan teknik canggih untuk melakukan pancingan data dan bentuk serangan perisian hasad lain nampaknya mengubah arahnya. Dengan tujuan yang jelas untuk mengutamakan kualiti berbanding kuantiti, kumpulan penggodam TA505 yang terkenal telah berputar menggunakan bentuk kod jahat yang baru bernama AndroMut. Menariknya, malware nampaknya diilhamkan oleh Andromeda. Asalnya direka oleh kumpulan penggodam lain, Andromeda adalah salah satu botnet malware terbesar di dunia seperti baru-baru ini pada tahun 2017. Botnet berdasarkan kod Andromeda berjaya melaksanakan penghantaran muatannya pada beberapa PC yang disyaki dan terdedah yang menjalankan Sistem Operasi Windows. AndroMut sepertinya sebahagian besarnya berdasarkan kod Andromeda ini yang menunjukkan kemungkinan adanya kerjasama antara kumpulan penggodam.
Salah satu kumpulan penjenayah siber paling berjaya di dunia, yang menyebut diri mereka TA505, nampaknya telah mengubah taktiknya. Sebagai sebahagian daripada kempen jahat menyerang dan mencuri maklumat kewangan, kumpulan itu sibuk menyebarkan bentuk perisian hasad baru. Daripada mensasarkan sebilangan besar individu, sebagai sebahagian daripada pivot, kumpulan TA505 nampaknya mengejar bank dan perkhidmatan kewangan lain. Secara kebetulan, titik masuk atau asal tetap sama, tetapi sasaran dan fokus yang dimaksudkan nampaknya berada pada sektor kewangan yang teratur. Secara kebetulan, syarikat kewangan di AS, Emiriah Arab Bersatu dan Singapura dinasihatkan untuk berjaga-jaga dan mencari kandungan yang mencurigakan. Beberapa titik serangan yang paling biasa adalah e-mel yang kelihatan rasmi.
TA505 Group Menggunakan Pangkalan Andromeda Untuk Membangunkan dan Menyebarkan AndroMut
Kumpulan TA505 yang terkenal nampaknya telah meningkatkan keamatannya pada bulan lalu dan terus berlanjutan dengan keganasan yang sama. Ia tidak lagi berusaha menyebarkan gelombang serangan secara rawak yang berusaha menguasai mesin mangsa. Dengan kata lain, e-mel phishing massa bukan lagi taktik pilihan. Sebaliknya, kumpulan TA505 telah menurunkan jumlah serangan dengan ketara dan dengan jelas beralih ke serangan yang lebih disasarkan.
Tulis yang bagus dari @kosong
penyelidik membincangkan dua kempen berbeza dengan TA505 yang menggunakan AndroMut untuk memuat turun FlawedAmmyy. AndroMut ditulis dalam C ++ dan merupakan jenis muat turun.
Blog: https://t.co/vIDcrhKQ3z
Contoh: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3 Julai 2019
Berdasarkan analisis beberapa e-mel yang disyaki dan bentuk komunikasi dan media elektronik lain, penyelidik keselamatan siber di Titik Bukti telah menunjukkan bahawa kumpulan penggodam nampaknya menyasarkan pekerja bank dan penyedia perkhidmatan kewangan lain. Para penyelidik juga telah menemui penggunaan bentuk perisian hasad canggih yang baru. Para penyelidik memanggilnya AndroMut dan telah menemui bahawa perisian hasad mempunyai beberapa persamaan dengan Andromeda. Direka dan digunakan oleh kumpulan penggodam yang sama sekali berbeza, Andromeda telah menjadi salah satu rangkaian botnet malware yang paling berjaya, berbahaya dan merupakan salah satu rangkaian botnet malware terbesar di dunia. Sehingga tahun 2017, Andromeda tersebar secara besar-besaran, dan berjaya memasang dirinya pada PC yang rentan yang menjalankan sistem operasi Windows.
Bagaimana Kumpulan TA505 Melaksanakan Serangan Malware?
Seperti kebanyakan serangan kumpulan TA505 yang lain, malware AndroMut baru juga diedarkan melalui e-mel yang sah. Serangan pancingan data melibatkan e-mel yang kelihatan dan sangat rasmi dan sahih. E-mel seperti itu biasanya mendakwa mengandungi invois dan dokumen lain yang bermaksud berkaitan dengan perbankan dan kewangan. E-mel yang digunakan dalam pancingan data sering dibuat dengan susah payah. Walaupun beberapa e-mel mengandungi dokumen PDF yang popular, e-mel pancingan data dari kumpulan TA505 nampaknya bergantung pada dokumen Word.
https://twitter.com/rsz619mania/status/1146387091598667777
Setelah mangsa yang tidak curiga membuka dokumen Word yang dicantumkan, kumpulan itu bergantung pada kejuruteraan sosial untuk meneruskan serangan. Ini mungkin terdengar rumit, tetapi sebenarnya, serangan itu bergantung pada kaedah 'makro' yang agak kuno dalam dokumen Word. Sasaran diberitahu bahawa maklumat itu 'dilindungi' dan mereka perlu membolehkan penyuntingan untuk melihat kandungannya. Melakukannya membolehkan makro dan membolehkan AndroMut dihantar ke mesin. Malware ini kemudian memuat turun FlawedAmmyy secara diam-diam. Setelah kedua-duanya dipasang, mesin mangsa akan terjejas sepenuhnya.
Apa Itu AndroMut Dan Bagaimana Malware Berbilang Tahap Berfungsi?
TA505 kini menggunakan AndroMut sebagai tahap pertama dalam serangan dua peringkat. Dengan kata lain, AndroMut adalah bahagian pertama jangkitan dan kawalan komputer mangsa yang berjaya. Setelah berjaya dalam penembusan, AndroMut menggunakan jangkitan untuk secara tidak sengaja menjatuhkan muatan kedua ke mesin yang dikompromikan. Muatan kedua kod jahat disebut FlawedAmmyy. Pada dasarnya, FlawedAmmyy adalah Trojan atau RAT Akses Jauh yang kuat dan cekap.
RAT FlawedAmmyy tahap kedua yang agresif adalah perisian hasad yang memberikan akses jarak jauh ke komputer mangsa. Penyerang dapat memperoleh keistimewaan Pentadbiran yang jauh. Setelah masuk, penyerang mempunyai akses penuh ke fail, bukti kelayakan dan banyak lagi.
Secara kebetulan, data itu sendiri bukan sasarannya. Dengan kata lain, mencuri data bukanlah tujuan utama. Sebagai bahagian penting, kumpulan TA505 mencari maklumat yang memberikan mereka akses ke rangkaian dalaman bank dan institusi kewangan lain.
TA505 melancarkan perisian hasad AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 Julai 2019
Kumpulan TA505 Mengikuti Wang, Katakan Pakar:
Bercakap mengenai aktiviti kumpulan penggodam, Chris Dawson, ketua perisik ancaman di Titik Bukti berkata, 'Langkah A505 untuk terutama menyebarkan RAT dan muat turun dalam kempen yang lebih disasarkan daripada yang sebelumnya mereka gunakan dengan Trojan perbankan dan ransomware menunjukkan perubahan mendasar dalam taktik mereka. Pada dasarnya kumpulan ini mengalami jangkitan berkualiti tinggi yang berpotensi untuk pengewangan jangka panjang - kualiti berbanding kuantiti. '
Penjenayah siber pada dasarnya mengatur serangan mereka, dan memilih sasaran mereka, bukannya melakukan kempen e-mel besar-besaran dan berharap dapat menjerat mangsa. Mereka mengejar data, dan yang lebih penting, maklumat sensitif, untuk mencuri wang. Pivot terbaru pada dasarnya hanyalah contoh penggodam yang mengikuti pasaran dan wang. Oleh itu pergeseran strategi tidak boleh dianggap permanen, kata Dawson, 'Apa yang tidak jelas adalah hasil akhir atau permainan akhir dari pergeseran ini. A505 sangat banyak mengikuti wang, menyesuaikan diri dengan tren global dan meneroka geografi dan muatan baru untuk memaksimumkan pulangan mereka. '
Teg perisian hasad
