Các nhóm tấn công chuyên nghiệp đang xoay vòng sang dạng phần mềm độc hại mới với ‘AndroMut’, nhắm mục tiêu thông tin tài chính và ngân hàng bằng kỹ thuật xã hội

Một nhóm hack chuyên nghiệp với các kỹ thuật tinh vi để thực hiện lừa đảo và các hình thức tấn công phần mềm độc hại khác dường như đang thay đổi hướng đi của mình. Với mục tiêu rõ ràng là ưu tiên chất lượng hơn số lượng, nhóm tin tặc khét tiếng TA505 đã xoay trục bằng cách sử dụng một dạng mã độc mới có tên AndroMut. Điều thú vị là phần mềm độc hại dường như được lấy cảm hứng từ Andromeda. Ban đầu được thiết kế bởi một nhóm hack khác, Andromeda là một trong những mạng botnet phần mềm độc hại lớn nhất trên thế giới gần đây nhất vào năm 2017. Các botnet dựa trên mã Andromeda đã thực hiện thành công việc phân phối tải trọng của nó trên một số PC đáng ngờ và dễ bị tấn công chạy Hệ điều hành Windows. AndroMut dường như phần lớn dựa trên mã Andromeda này cho thấy có thể có sự hợp tác giữa các nhóm hacker.

Một trong những nhóm tội phạm mạng thành công nhất thế giới, tự gọi mình là TA505, dường như đã thay đổi chiến thuật của mình. Là một phần của chiến dịch tấn công và đánh cắp thông tin tài chính độc hại mới nhất, nhóm này đang bận rộn phân phối một dạng phần mềm độc hại mới. Thay vì nhắm mục tiêu vào một số lượng lớn các cá nhân, như một phần của trục xoay, nhóm TA505 dường như đang theo đuổi các ngân hàng và các dịch vụ tài chính khác. Ngẫu nhiên, điểm đầu vào hoặc điểm xuất phát vẫn giữ nguyên, nhưng mục tiêu và trọng tâm dự kiến ​​dường như là vào khu vực tài chính có tổ chức. Ngẫu nhiên, các công ty tài chính ở Mỹ, Các Tiểu vương quốc Ả Rập Thống nhất và Singapore được khuyến cáo nên cảnh giác cao độ và tìm kiếm bất kỳ nội dung đáng ngờ nào. Một số điểm chung nhất của cuộc tấn công vẫn là các email trông chính thức.

Nhóm TA505 sử dụng cơ sở Andromeda để phát triển và triển khai AndroMut

Nhóm TA505 khét tiếng dường như đã gia tăng cường độ trong tháng trước và tiếp tục với mức độ dữ dội tương tự. Nó không còn cố gắng triển khai các đợt tấn công ngẫu nhiên nhằm giành quyền kiểm soát máy của nạn nhân. Nói cách khác, email lừa đảo hàng loạt không còn là chiến thuật được ưa chuộng nữa. Thay vào đó, nhóm TA505 đã giảm đáng kể khối lượng các cuộc tấn công và rõ ràng đã chuyển sang các cuộc tấn công có mục tiêu hơn.

Dựa trên việc phân tích một số email bị nghi ngờ và các hình thức truyền thông và phương tiện điện tử khác, các nhà nghiên cứu an ninh mạng tại Điểm chứng minh đã chỉ ra rằng nhóm tin tặc dường như đang nhắm mục tiêu vào nhân viên của các ngân hàng và các nhà cung cấp dịch vụ tài chính khác. Các nhà nghiên cứu cũng đã phát hiện ra việc sử dụng một dạng phần mềm độc hại tinh vi mới. Các nhà nghiên cứu đang gọi nó là AndroMut và đã phát hiện ra rằng phần mềm độc hại này có khá nhiều điểm tương đồng với Andromeda. Được thiết kế và triển khai bởi một nhóm tin tặc hoàn toàn khác, Andromeda là một trong những mạng botnet phần mềm độc hại được thực hiện thành công nhất, nguy hiểm nhất và là một trong những mạng botnet phần mềm độc hại lớn nhất trên thế giới. Cho đến năm 2017, Andromeda đã lan truyền mạnh mẽ và tự cài đặt thành công trên các PC dễ bị tấn công chạy hệ điều hành Windows.

Nhóm TA505 đang thực hiện cuộc tấn công bằng phần mềm độc hại như thế nào?

Giống như hầu hết các cuộc tấn công khác của nhóm TA505, phần mềm độc hại AndroMut mới cũng được phân phối thông qua các email trông hợp pháp. Các cuộc tấn công lừa đảo liên quan đến các email có giao diện chính thức và xác thực. Những email như vậy thường tuyên bố chứa hóa đơn và các tài liệu khác có mục đích liên quan đến ngân hàng và tài chính. Email được sử dụng để lừa đảo thường được tạo một cách cẩn thận. Mặc dù một số email chứa tài liệu PDF phổ biến, nhưng email lừa đảo từ nhóm TA505 dường như dựa trên tài liệu Word.

https://twitter.com/rsz619mania/status/1146387091598667777

Một khi nạn nhân không nghi ngờ gì mở tài liệu Word được tẩm, nhóm này dựa vào kỹ thuật xã hội để tiếp tục cuộc tấn công. Điều này nghe có vẻ phức tạp, nhưng trên thực tế, cuộc tấn công dựa trên một phương pháp khá cổ là ‘macro’ trong tài liệu Word. Các mục tiêu được thông báo rằng thông tin được ‘bảo vệ’ và họ cần bật chỉnh sửa để xem nội dung của nó. Làm như vậy sẽ kích hoạt macro và cho phép AndroMut được gửi đến máy. Phần mềm độc hại này sau đó đã tải xuống FlawedAmmyy một cách kín đáo. Sau khi cả hai được cài đặt, máy của nạn nhân hoàn toàn bị xâm nhập.

AndroMut là gì và phần mềm độc hại đa giai đoạn hoạt động như thế nào?

TA505 hiện đang sử dụng AndroMut làm giai đoạn đầu tiên trong cuộc tấn công hai giai đoạn. Nói cách khác, AndroMut là phần đầu tiên của quá trình lây nhiễm và kiểm soát thành công máy tính của nạn nhân. Sau khi thâm nhập thành công, AndroMut sử dụng sự lây nhiễm để thả một cách kín đáo tải trọng thứ hai vào máy bị xâm nhập. Phần thứ hai của mã độc được gọi là FlawedAmmyy. Về cơ bản, FlawedAmmyy là một Trojan hoặc RAT Truy cập Từ xa mạnh mẽ và hiệu quả.

RAT FlawedAmmyy giai đoạn hai tích cực là một phần mềm độc hại độc hại cấp quyền truy cập từ xa vào máy tính của nạn nhân. Những kẻ tấn công có thể đạt được các đặc quyền Quản trị từ xa. Khi vào bên trong, những kẻ tấn công có toàn quyền truy cập vào các tệp, thông tin xác thực và hơn thế nữa.

Ngẫu nhiên, dữ liệu, bản thân nó, không phải là mục tiêu. Nói cách khác, đánh cắp dữ liệu không phải là mục đích chính. Là một phần của trục, nhóm TA505 theo dõi thông tin cho phép họ truy cập vào mạng nội bộ của các ngân hàng và các tổ chức tài chính khác.

Nhóm TA505 đang theo dõi tiền, nói các chuyên gia:

Phát biểu về các hoạt động của nhóm hack, Chris Dawson, lãnh đạo cơ quan tình báo về mối đe dọa tại Điểm chứng minh cho biết, “Việc A505 chuyển sang chủ yếu phân phối RAT và trình tải xuống trong các chiến dịch được nhắm mục tiêu nhiều hơn so với trước đây họ đã sử dụng với Trojan ngân hàng và ransomware cho thấy một sự thay đổi cơ bản trong chiến thuật của họ. Về cơ bản, nhóm đang theo đuổi sự lây nhiễm chất lượng cao hơn với tiềm năng kiếm tiền lâu dài hơn - chất lượng hơn số lượng. "

Tội phạm mạng về cơ bản đang tinh chỉnh các cuộc tấn công của chúng và đang chọn mục tiêu của chúng thay vì thực hiện các chiến dịch gửi email lớn và hy vọng bắt được nạn nhân. Họ theo đuổi dữ liệu, và quan trọng hơn là thông tin nhạy cảm, để ăn cắp tiền. Trục mới nhất về cơ bản chỉ là một ví dụ về việc tin tặc chạy theo thị trường và tiền bạc. Do đó, sự thay đổi trong chiến lược không nên được coi là vĩnh viễn, Dawson nhận xét, “Điều không rõ ràng là kết quả cuối cùng hay trò chơi cuối cùng của sự thay đổi này. A505 rất tuân theo đồng tiền, thích ứng với xu hướng toàn cầu và khám phá các khu vực địa lý và trọng tải mới để tối đa hóa lợi nhuận của họ. "

Facebook Twitter Google Plus Pinterest