Ang Mga Pro Hacking Group Ay Nagbabahagi Sa Bagong Porma Ng Malware Sa 'AndroMut', Pag-target sa Impormasyon sa Pinansyal At Mga Bangko Gamit ang Social Engineering

Balita
Seguridad / Ang Mga Pro Hacking Group Ay Nagbabahagi Sa Bagong Porma Ng Malware Sa 'AndroMut', Pag-target sa Impormasyon sa Pinansyal At Mga Bangko Gamit ang Social Engineering Basahin ang 4 na minuto

Paglalarawan ng Cybersecurity



Ang isang propesyonal na pangkat ng pag-hack na may sopistikadong mga diskarte upang magpatupad ng phishing at iba pang mga uri ng pag-atake ng malware ay lilitaw na binabago ang direksyon nito. Sa isang malinaw na layunin na unahin ang kalidad kaysa sa dami, ang kasumpa-sumpa na pangkat na TA505 ng mga hacker ay nag-pivot gamit ang isang bagong anyo ng nakakahamak na code na pinangalanang AndroMut. Kapansin-pansin, ang malware ay lilitaw na inspirasyon ni Andromeda. Orihinal na dinisenyo ng isa pang pangkat ng pag-hack, ang Andromeda ay isa sa pinakamalaking botnets ng malware sa mundo kamakailan lamang noong 2017. Ang mga botnet batay sa code ng Andromeda ay matagumpay na naipatupad ang paghahatid ng kargamento sa maraming mga pinaghihinalaan at mahina laban sa PC na nagpapatakbo ng Windows Operating System. Ang AndroMut ay tila higit sa lahat batay sa mismong Andromeda code na nagpapahiwatig ng isang posibleng pakikipagtulungan sa pagitan ng mga pangkat ng hacker.

Ang isa sa pinakamatagumpay na pangkat ng cybercriminal sa buong mundo, na tumawag sa kanilang sarili na TA505, ay lumilitaw na binago ang mga taktika nito. Bilang bahagi ng pinakabagong nakakahamak na kampanya ng pag-atake at pagnanakaw ng impormasyon sa pananalapi, abala ang pangkat sa pamamahagi ng isang bagong anyo ng malware. Sa halip na mag-target ng isang malaking bilang ng mga indibidwal, bilang bahagi ng pivot, ang pangkat na TA505 ay lilitaw na susunod sa mga bangko at iba pang mga serbisyong pampinansyal. Hindi sinasadya, ang punto ng pagpasok o pinagmulan ay mananatiling pareho, ngunit ang inilaan na target at pokus ay lilitaw na nasa organisadong sektor ng pananalapi. Hindi sinasadya, pinayuhan ang mga kumpanya ng pananalapi sa US, United Arab Emirates at Singapore na maging mataas ang alerto at maghanap ng anumang kahina-hinalang nilalaman. Ang ilan sa mga pinaka-karaniwang punto ng pag-atake ay mananatiling mga opisyal na mukhang email.



Ang TA505 Group ay Gumagamit ng Andromeda Base Upang Bumuo At Mag-deploy ng AndroMut

Ang kasumpa-sumpa na pangkat TA505 ay lilitaw na nadagdagan ang tindi nito noong nakaraang buwan at nagpatuloy sa parehong lakas. Hindi na ito sumusubok na mag-deploy ng mga random na alon ng pag-atake na sumusubok na makontrol ang mga makina ng mga biktima. Sa madaling salita, ang mga email ng mass phishing ay hindi na ang ginustong mga taktika. Sa halip, ang pangkat na TA505 ay makabuluhang nagbaba ng dami ng mga pag-atake at malinaw na lumipat sa mas maraming naka-target na pag-atake.



Batay sa pagsusuri ng maraming pinaghihinalaang mga email at iba pang mga anyo ng elektronikong komunikasyon at media, ang mga mananaliksik sa cyber-security sa Proofpoint ipinahiwatig na ang pangkat ng mga hacker ay lilitaw na tina-target ang mga empleyado ng mga bangko at iba pang mga nagbibigay ng serbisyo sa pananalapi. Natuklasan din ng mga mananaliksik ang paggamit ng isang bagong anyo ng sopistikadong malware. Tinatawag ito ng mga mananaliksik na AndroMut at natuklasan na ang malware ay may ilang pagkakapareho sa Andromeda. Dinisenyo at ipinakalat ng isang ganap na magkakaibang pangkat ng mga hacker, ang Andromeda ay isa sa pinakamatagumpay na naisakatuparan, mapanganib at isa sa pinakamalaking network ng mga malware botnets sa buong mundo. Hanggang sa 2017, ang Andromeda ay kumakalat nang masagana, at matagumpay na na-install ang sarili nito sa mga mahina na PC na nagpapatakbo ng operating system ng Windows.

Paano Ang Grupong TA505 Isinasagawa Ang Malware Attack?

Tulad ng karamihan sa iba pang pag-atake ng pangkat na TA505, ang bagong AndroMut malware din ay ipinamamahagi sa pamamagitan ng mga lehitimong mukhang email. Ang mga pag-atake sa phishing ay nagsasangkot ng mga email na mukhang opisyal at tunay ang hitsura at pakiramdam. Karaniwang inaangkin ng mga nasabing email na naglalaman ng mga invoice at iba pang mga dokumento na sinasabing nauugnay sa banking at pananalapi. Ang mga email na ginamit sa phishing ay madalas na mahirap gawin. Bagaman maraming mga email ang naglalaman ng tanyag na dokumentong PDF, ang mga email sa phishing mula sa pangkat na TA505 ay tila umaasa sa mga dokumento ng Word.

https://twitter.com/rsz619mania/status/1146387091598667777

Sa sandaling binuksan ng hindi pinaghihinalaang biktima ang naka-link na dokumento ng Word, ang grupo ay umaasa sa social engineering upang ipagpatuloy ang pag-atake. Maaari itong maging kumplikado, ngunit sa totoo lang, ang pag-atake ay nakasalalay sa isang medyo sinaunang pamamaraan ng 'macros' sa dokumento ng Word. Ipinaalam sa mga target na ang impormasyon ay 'protektado' at kailangan nilang paganahin ang pag-edit upang makita ang mga nilalaman nito. Ang paggawa nito ay nagbibigay-daan sa mga macros at pinapayagan ang AndroMut na maihatid sa makina. Pagkatapos ay maingat na na-download ng malware na ito ang FlawedAmmyy. Kapag na-install na ang pareho, ang makina ng mga biktima ay kumpleto na nakompromiso.

Ano ang AndroMut At Paano Gumagana ang Multi-Stage Malware?

Kasalukuyang ginagamit ng TA505 ang AndroMut bilang unang yugto sa isang dalawang yugto na pag-atake. Sa madaling salita, ang AndroMut ay ang unang bahagi ng isang matagumpay na impeksyon at kontrol sa mga computer ng mga biktima. Kapag matagumpay sa pagtagos, gumagamit si AndroMut ng impeksyon upang maingat na ihulog ang isang pangalawang kargamento sa nakompromisong makina. Ang pangalawang payload ng nakakahamak na code ay tinatawag na FlawedAmmyy. Mahalaga, ang FlawedAmmyy ay isang malakas at mahusay na Remote Access Trojan o RAT.

Ang agresibo sa pangalawang yugto ng RAT FlawedAmmyy ay isang masamang malware na nagbibigay ng malayuang pag-access sa mga computer ng mga biktima. Ang mga umaatake ay maaaring makakuha ng malayuang mga pribilehiyong pang-Administratibo. Kapag nasa loob na, ang mga umaatake ay may kumpletong pag-access sa mga file, kredensyal at marami pa.

Hindi sinasadya, ang data, sa kanyang sarili, ay hindi ang target. Sa madaling salita, ang pagnanakaw ng data ay hindi pangunahing hangarin. Bilang bahagi ng pivot, ang pangkat na TA505 ay pagkatapos ng impormasyon na nagbibigay sa kanila ng pag-access sa panloob na network ng mga bangko at iba pang mga institusyong pampinansyal.

TA505 Group Ay Sinusundan Ang Pera, Sabihin sa Mga Eksperto:

Nagsasalita tungkol sa mga aktibidad ng pangkat ng pag-hack, si Chris Dawson, nanguna sa pananakot sa pananaliksik sa Proofpoint Sinabi, 'Ang paglipat ng A505 sa pangunahing pamamahagi ng mga RAT at downloader sa higit na naka-target na mga kampanya kaysa sa dati nilang pinagtatrabaho sa banking Trojan at ransomware ay nagmumungkahi ng isang pangunahing pagbabago sa kanilang mga taktika. Mahalaga na ang pangkat ay sumusunod sa mas mataas na mga impeksyong may kalidad na may potensyal para sa pangmatagalang pagkakita ng pera - kalidad na higit sa dami. '

Ang mga Cybercriminals ay mahalagang pagsasaayos ng kanilang mga pag-atake, at pipiliin ang kanilang mga target sa halip na magsagawa ng napakalaking mga kampanya sa pag-email at pag-asang maagaw ang mga biktima. Ang mga ito ay pagkatapos ng data, at higit sa lahat, sensitibong impormasyon, upang magnakaw ng pera. Ang pinakabagong pivot ay mahalagang halimbawa lamang ng mga hacker na sumusunod sa merkado at pera. Samakatuwid ang paglilipat sa diskarte ay hindi dapat isaalang-alang permanenteng, sinusunod Dawson, 'Ano ang hindi malinaw ay ang panghuli kinalabasan o endgame ng paglilipat na ito. Sinusundan ng A505 ang pera, umaangkop sa mga pandaigdigan na trend at tuklasin ang mga bagong heograpiya at payload upang ma-maximize ang kanilang mga pagbabalik. '

pagbawi ng linux sd card
Mga tag malware