Nový variant šírenia chybnej milosti prostredníctvom hromadných e-mailových kampaní

Výskumníci v oblasti kybernetickej bezpečnosti v utorok ukončili hromadný e-mailový útok organizovaný plodným kyberzločineckým gangom, ktorý postihuje široké spektrum priemyselných odvetví, pričom jedna z jeho regionálnych operácií je zameraná najmä na Nemecko a Rakúsko.

Podniková bezpečnostná firma Proofpoint spojila malvérovú kampaň s vysokou dôverou s TA505, čo je názov priradený k finančne motivovanej skupine hrozieb, ktorá je aktívna v biznise s počítačovou kriminalitou prinajmenšom od roku 2014 a stojí za neslávne známym bankovým trojanom Dridex a arzenálom ďalších škodlivé nástroje, ako sú okrem iného FlawedAmmyy, FlawedGrace, Neutrino botnet a Locky ransomware.

Spoločnosť Morphisec Labs zaoberajúca sa kybernetickou bezpečnosťou sleduje rovnaký reťazec útokov pod nezávislou prezývkou „MirrorBlast“.

Útoky údajne začali ako séria vĺn s malým objemom e-mailov, ktoré v každej fáze doručili len niekoľko tisíc správ, potom sa koncom septembra a až 13. októbra zvýšili, čo viedlo k desiatkam až stovkám tisíc e-mailov.

“Mnohé z kampaní, najmä tie s veľkým objemom, silne pripomínajú historickú aktivitu TA505 z rokov 2019 a 2020,” uviedli vedci. “Spoločné znaky zahŕňajú podobné konvencie názvov domén, e-mailové návnady, návnady súborov Excel a dodanie trojanu FlawedGrace pre vzdialený prístup (RAT).”

Skupina má skúsenosti s útokmi na výskumné ústavy, banky, maloobchodné podniky, energetické spoločnosti, zdravotnícke inštitúcie, letecké spoločnosti a vládne agentúry s cieľom dosiahnuť zisk, pričom zákerné aktivity zvyčajne začínajú otváraním príloh s malvérom v phishingových správach. súvisieť s aktualizáciami COVID-19, poistnými udalosťami alebo upozorneniami o zdieľaných súboroch Microsoft OneDrive.

„Postupom času sa TA505 vyvinul z menšieho partnera na vyspelú, samostatne fungujúcu a všestrannú kriminálnu operáciu so širokým spektrom cieľov,“ uviedla NCC Group v analýze zverejnenej v novembri 2020. „Počas rokov sa skupina silne spoliehala na tretie stranícke služby a nástroje na podporu jej podvodných aktivít, avšak skupina teraz väčšinou funguje nezávisle od počiatočnej infekcie až po speňaženie.“

Úspech najnovšej kampane však závisí od toho, či používatelia povolia makrá po otvorení škodlivých príloh Excelu, po ktorom sa stiahne zahmlený súbor MSI na načítanie zavádzačov ďalšej fázy pred doručením aktualizovanej verzie FlawedGrace RAT, ktorá zahŕňa podporu pre šifrované reťazce a zahmlené volania API.

FlawedGrace – prvýkrát pozorovaný v novembri 2017 – je plne vybavený trójsky kôň so vzdialeným prístupom (RAT) napísaný v C++, ktorý je zámerne navrhnutý tak, aby zmaril spätné inžinierstvo a analýzu. Dodáva sa so zoznamom schopností, ktoré mu umožňujú nadviazať komunikáciu s príkazovým a riadiacim serverom, aby mohol prijímať pokyny a prenášať výsledky týchto príkazov späť na server.

Októbrová útočná vlna herca je tiež významná pre jej posun v taktike, ktorá zahŕňa použitie prerobených prechodných zavádzačov napísaných v neobvyklých programovacích jazykoch ako Rebol a KiXtart namiesto Get2, sťahovača, ktorý skupina predtým nasadila na vykonávanie prieskumu a sťahovania a nainštalujte konečné zaťaženie RAT.

„TA505 je etablovaným aktérom v oblasti hrozieb, ktorý je finančne motivovaný a známy tým, že vedie škodlivé e-mailové kampane v dovtedy bezprecedentnom rozsahu,“ povedal Proofpoint. “Skupina pravidelne mení svoje TTP a sú považovaní za tvorcov trendov vo svete kyberzločinu. Tento aktér hrozby neobmedzuje svoj cieľový súbor a v skutočnosti je rovnocenným oportunistom s geografickými oblasťami a vertikálami, na ktoré sa rozhodol zaútočiť.”

„To v kombinácii so schopnosťou TA505 byť flexibilný, zameriavať sa na to, čo je najlukratívnejšie, a presúvať svoje TTP podľa potreby, robí z aktéra pokračujúcu hrozbu,“ dodala firma pre kybernetickú bezpečnosť.