ภาพประกอบความปลอดภัยทางไซเบอร์
กลุ่มแฮ็กมืออาชีพที่มีเทคนิคที่ซับซ้อนในการดำเนินการฟิชชิ่งและการโจมตีด้วยมัลแวร์ในรูปแบบอื่น ๆ ดูเหมือนจะเปลี่ยนทิศทาง ด้วยจุดมุ่งหมายที่ชัดเจนในการจัดลำดับความสำคัญของคุณภาพมากกว่าปริมาณกลุ่มแฮกเกอร์ TA505 ที่น่าอับอายได้ใช้รูปแบบใหม่ของรหัสที่เป็นอันตรายชื่อ AndroMut ที่น่าสนใจคือมัลแวร์ดูเหมือนจะได้รับแรงบันดาลใจจาก Andromeda เดิมออกแบบโดยกลุ่มแฮ็กอื่น Andromeda เป็นหนึ่งในบอทเน็ตมัลแวร์ที่ใหญ่ที่สุดในโลกเมื่อเร็ว ๆ นี้ในปี 2017 บอตเน็ตที่ใช้รหัส Andromeda ประสบความสำเร็จในการดำเนินการจัดส่งน้ำหนักบรรทุกบนพีซีที่น่าสงสัยและมีช่องโหว่หลายเครื่องที่ใช้ระบบปฏิบัติการ Windows AndroMut ดูเหมือนว่าส่วนใหญ่จะขึ้นอยู่กับรหัส Andromeda นี้ซึ่งบ่งบอกถึงการทำงานร่วมกันที่เป็นไปได้ระหว่างกลุ่มแฮ็กเกอร์
กลุ่มอาชญากรไซเบอร์ที่ประสบความสำเร็จมากที่สุดกลุ่มหนึ่งของโลกที่เรียกตัวเองว่า TA505 ดูเหมือนจะปรับเปลี่ยนกลยุทธ์ เนื่องจากเป็นส่วนหนึ่งของแคมเปญที่มุ่งร้ายล่าสุดในการโจมตีและขโมยข้อมูลทางการเงินกลุ่มนี้กำลังยุ่งอยู่กับการแจกจ่ายมัลแวร์รูปแบบใหม่ แทนที่จะกำหนดเป้าหมายไปที่บุคคลจำนวนมากในฐานะที่เป็นส่วนหนึ่งของ pivot กลุ่ม TA505 ดูเหมือนจะติดตามธนาคารและบริการทางการเงินอื่น ๆ อนึ่งจุดเริ่มต้นหรือจุดเริ่มต้นยังคงเหมือนเดิม แต่เป้าหมายและจุดสนใจที่ตั้งใจไว้ดูเหมือนจะอยู่ที่ภาคการเงินที่มีการจัดระเบียบ อนึ่ง บริษัท การเงินในสหรัฐอเมริกาสหรัฐอาหรับเอมิเรตส์และสิงคโปร์ควรระมัดระวังอย่างสูงและมองหาเนื้อหาที่น่าสงสัย จุดที่พบบ่อยที่สุดของการโจมตียังคงเป็นอีเมลที่ดูเป็นทางการ
TA505 Group ใช้ฐาน Andromeda ในการพัฒนาและปรับใช้ AndroMut
กลุ่ม TA505 ที่น่าอับอายดูเหมือนจะทวีความรุนแรงขึ้นในช่วงเดือนที่แล้วและยังคงมีความดุร้ายเช่นเดิม ไม่มีความพยายามที่จะใช้การโจมตีแบบสุ่มอีกต่อไปที่พยายามเข้าควบคุมเครื่องจักรของเหยื่อ กล่าวอีกนัยหนึ่งอีเมลฟิชชิ่งจำนวนมากไม่ใช่กลยุทธ์ที่ต้องการอีกต่อไป แต่กลุ่ม TA505 ได้ลดปริมาณการโจมตีลงอย่างเห็นได้ชัดและเปลี่ยนเป็นการโจมตีแบบกำหนดเป้าหมายมากขึ้นอย่างชัดเจน
เขียนได้ดีจาก @proofpoint
นักวิจัยพูดถึงแคมเปญที่แตกต่างกันสองแคมเปญโดย TA505 ซึ่งใช้ AndroMut เพื่อดาวน์โหลด FlawedAmmyy AndroMut เขียนด้วย C ++ และเป็นโปรแกรมดาวน์โหลดประเภทหนึ่ง
บล็อก: https://t.co/vIDcrhKQ3z
ตัวอย่าง: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- InQuest (@InQuest) 3 กรกฎาคม 2019
จากการวิเคราะห์อีเมลที่ต้องสงสัยหลายฉบับรวมถึงการสื่อสารและสื่อทางอิเล็กทรอนิกส์ในรูปแบบอื่น ๆ นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Proofpoint ได้ระบุว่ากลุ่มแฮกเกอร์ดูเหมือนจะกำหนดเป้าหมายไปที่พนักงานของธนาคารและผู้ให้บริการทางการเงินอื่น ๆ นักวิจัยยังได้ค้นพบการใช้งานมัลแวร์ที่ซับซ้อนรูปแบบใหม่ นักวิจัยเรียกมันว่า AndroMut และพบว่ามัลแวร์มีความคล้ายคลึงกับ Andromeda อยู่ไม่น้อย Andromeda ได้รับการออกแบบและใช้งานโดยกลุ่มแฮกเกอร์ที่แตกต่างกันโดยสิ้นเชิง Andromeda เป็นหนึ่งในเครือข่ายบอตเน็ตมัลแวร์ที่ประสบความสำเร็จและเป็นหนึ่งในเครือข่ายบอตเน็ตที่ใหญ่ที่สุดในโลก จนถึงปี 2017 Andromeda กำลังแพร่กระจายอย่างกว้างขวางและประสบความสำเร็จในการติดตั้งตัวเองบนพีซีที่มีช่องโหว่ที่ใช้ระบบปฏิบัติการ Windows
กลุ่ม TA505 ดำเนินการโจมตีมัลแวร์อย่างไร
เช่นเดียวกับการโจมตีของกลุ่ม TA505 อื่น ๆ มัลแวร์ AndroMut ตัวใหม่ก็เผยแพร่ผ่านอีเมลที่ดูถูกต้องตามกฎหมายเช่นกัน การโจมตีแบบฟิชชิงเกี่ยวข้องกับอีเมลที่ดูเป็นทางการและเป็นของจริง อีเมลดังกล่าวมักอ้างว่ามีใบแจ้งหนี้และเอกสารอื่น ๆ ที่อ้างว่าเกี่ยวข้องกับการธนาคารและการเงิน อีเมลที่ใช้ในการฟิชชิงมักสร้างขึ้นอย่างระมัดระวัง แม้ว่าอีเมลหลายฉบับจะมีเอกสาร PDF ที่เป็นที่นิยม แต่อีเมลฟิชชิ่งจากกลุ่ม TA505 ก็ดูเหมือนจะใช้เอกสาร Word
https://twitter.com/rsz619mania/status/1146387091598667777
เมื่อเหยื่อที่ไม่สงสัยเปิดเอกสาร Word ที่ถูกผูกไว้กลุ่มดังกล่าวต้องอาศัยวิศวกรรมสังคมเพื่อดำเนินการโจมตีต่อไป สิ่งนี้อาจฟังดูซับซ้อน แต่จริงๆแล้วการโจมตีนั้นอาศัยวิธีการที่ค่อนข้างเก่าแก่ของ 'มาโคร' ในเอกสาร Word เป้าหมายจะได้รับแจ้งว่าข้อมูลได้รับการ 'ป้องกัน' และจำเป็นต้องเปิดใช้งานการแก้ไขเพื่อดูเนื้อหา เพื่อเปิดใช้มาโครและอนุญาตให้ส่ง AndroMut ไปยังเครื่อง จากนั้นมัลแวร์นี้จะดาวน์โหลด FlawedAmmyy อย่างรอบคอบ เมื่อติดตั้งทั้งสองเครื่องแล้วเครื่องของเหยื่อจะถูกบุกรุกอย่างเต็มที่
AndroMut คืออะไรและมัลแวร์หลายขั้นตอนทำงานอย่างไร
TA505 กำลังใช้ AndroMut เป็นด่านแรกในการโจมตีสองขั้นตอน กล่าวอีกนัยหนึ่ง AndroMut เป็นส่วนแรกของการติดไวรัสและควบคุมคอมพิวเตอร์ของเหยื่อได้สำเร็จ เมื่อเจาะสำเร็จ AndroMut จะใช้การติดเชื้อเพื่อทิ้งน้ำหนักบรรทุกที่สองลงบนเครื่องที่ถูกบุกรุกอย่างรอบคอบ ส่วนที่สองของโค้ดที่เป็นอันตรายเรียกว่า FlawedAmmyy โดยพื้นฐานแล้ว FlawedAmmyy เป็นโทรจันหรือ RAT การเข้าถึงระยะไกลที่มีประสิทธิภาพและมีประสิทธิภาพ
RAT FlawedAmmyy ขั้นที่สองที่ก้าวร้าวเป็นมัลแวร์ที่รุนแรงที่ให้การเข้าถึงคอมพิวเตอร์ของเหยื่อจากระยะไกล ผู้โจมตีสามารถได้รับสิทธิ์การดูแลระบบระยะไกล เมื่อเข้าไปข้างในแล้วผู้โจมตีจะสามารถเข้าถึงไฟล์ข้อมูลรับรองและอื่น ๆ ได้อย่างสมบูรณ์
อนึ่งข้อมูลในตัวมันเองไม่ใช่เป้าหมาย กล่าวอีกนัยหนึ่งการขโมยข้อมูลไม่ใช่เจตนาหลัก ในฐานะที่เป็นส่วนหนึ่งของสาระสำคัญกลุ่ม TA505 เป็นข้อมูลที่ทำให้พวกเขาสามารถเข้าถึงเครือข่ายภายในของธนาคารและสถาบันการเงินอื่น ๆ
TA505 เปิดตัวมัลแวร์ AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 กรกฎาคม 2019
TA505 Group กำลังติดตามเงินพูดผู้เชี่ยวชาญ:
Chris Dawson หัวหน้าหน่วยข่าวกรองภัยคุกคามที่พูดถึงกิจกรรมของกลุ่มแฮ็ก Proofpoint กล่าวว่า“ การย้าย A505 ไปสู่การกระจาย RAT และผู้ดาวน์โหลดในแคมเปญที่ตรงเป้าหมายเป็นหลักมากกว่าที่เคยใช้กับโทรจันและแรนซัมแวร์ของธนาคารซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงพื้นฐานในกลยุทธ์ของพวกเขา โดยพื้นฐานแล้วกลุ่มนี้กำลังดำเนินไปตามการติดเชื้อที่มีคุณภาพสูงขึ้นและมีศักยภาพในการสร้างรายได้ในระยะยาว - คุณภาพมากกว่าปริมาณ”
อาชญากรไซเบอร์กำลังปรับแต่งการโจมตีของพวกเขาเป็นหลักและเลือกเป้าหมายของพวกเขาแทนที่จะทำแคมเปญส่งอีเมลจำนวนมากและหวังว่าจะขัดขวางเหยื่อ พวกเขาติดตามข้อมูลและที่สำคัญกว่าคือข้อมูลที่ละเอียดอ่อนเพื่อขโมยเงิน Pivot ล่าสุดเป็นเพียงตัวอย่างของแฮกเกอร์ที่ติดตามตลาดและเงิน ดังนั้นการเปลี่ยนกลยุทธ์จึงไม่ควรถือเป็นการถาวร Dawson ตั้งข้อสังเกตว่า“ สิ่งที่ไม่ชัดเจนคือผลลัพธ์สุดท้ายหรือจุดจบของการเปลี่ยนแปลงนี้ A505 ติดตามเงินเป็นอย่างมากปรับตัวให้เข้ากับกระแสโลกและสำรวจพื้นที่และน้ำหนักบรรทุกใหม่ ๆ เพื่อเพิ่มผลตอบแทนสูงสุด”
แท็ก มัลแวร์