Pro-Hacking-Gruppen wechseln mit „AndroMut“ zu einer neuen Form von Malware und zielen mithilfe von Social Engineering auf Finanzinformationen und Banken ab
Eine professionelle Hacking-Gruppe mit ausgefeilten Techniken zur Ausführung von Phishing und anderen Formen von Malware-Angriffen scheint ihre Richtung zu ändern. Mit dem klaren Ziel, Qualität vor Quantität zu setzen, hat die berüchtigte TA505-Gruppe von Hackern eine neue Form von Schadcode namens AndroMut verwendet. Interessanterweise scheint die Malware von Andromeda inspiriert zu sein. Ursprünglich von einer anderen Hacking-Gruppe entwickelt, war Andromeda noch 2017 eines der größten Malware-Botnets der Welt. Botnets, die auf dem Andromeda-Code basieren, haben ihre Nutzdatenübertragung erfolgreich auf mehreren verdächtigen und anfälligen PCs mit Windows-Betriebssystem ausgeführt. Das AndroMut scheint weitgehend auf diesem Andromeda-Code zu basieren, der auf eine mögliche Zusammenarbeit zwischen den Hacker-Gruppen hinweist.
Eine der erfolgreichsten Cyberkriminellengruppen der Welt, die sich TA505 nennen, scheint ihre Taktik geändert zu haben. Im Rahmen der jüngsten böswilligen Kampagne zum Angriff und Diebstahl von Finanzinformationen ist die Gruppe damit beschäftigt, eine neue Form von Malware zu verbreiten. Anstatt eine große Anzahl von Personen als Teil des Pivots anzusprechen, scheint die TA505-Gruppe Banken und andere Finanzdienstleistungen zu suchen. Im Übrigen bleibt der Einstiegs- oder Ursprungsort derselbe, aber das beabsichtigte Ziel und der Schwerpunkt scheinen auf dem organisierten Finanzsektor zu liegen. Übrigens wird Finanzunternehmen in den USA, den Vereinigten Arabischen Emiraten und Singapur empfohlen, in höchster Alarmbereitschaft zu sein und nach verdächtigen Inhalten zu suchen. Einige der häufigsten Angriffspunkte sind nach wie vor offiziell aussehende E-Mails.
Die TA505-Gruppe verwendet Andromeda Base, um AndroMut zu entwickeln und bereitzustellen
Die berüchtigte TA505-Gruppe scheint im letzten Monat ihre Intensität erhöht zu haben und hat mit der gleichen Wildheit weitergemacht. Es wird nicht mehr versucht, zufällige Angriffswellen einzusetzen, die versuchen, die Kontrolle über die Maschinen der Opfer zu erlangen. Mit anderen Worten, Massen-Phishing-E-Mails sind nicht mehr die bevorzugte Taktik. Stattdessen hat die TA505-Gruppe das Angriffsvolumen erheblich verringert und eindeutig auf gezieltere Angriffe umgestellt.
Basierend auf der Analyse mehrerer verdächtiger E-Mails und anderer Formen der elektronischen Kommunikation und Medien haben Cyber-Sicherheitsforscher bei Beweispunkt haben angegeben, dass die Gruppe der Hacker offenbar Mitarbeiter von Banken und anderen Finanzdienstleistern anspricht. Die Forscher haben auch die Verwendung einer neuen Form hochentwickelter Malware aufgedeckt. Die Forscher nennen es AndroMut und haben festgestellt, dass die Malware einige Ähnlichkeiten mit Andromeda aufweist. Andromeda wurde von einer völlig anderen Gruppe von Hackern entwickelt und bereitgestellt und ist eines der erfolgreichsten, gefährlichsten und eines der größten Netzwerke von Malware-Botnetzen der Welt. Bis 2017 verbreitete sich Andromeda stark und installierte sich erfolgreich auf anfälligen PCs, auf denen das Windows-Betriebssystem ausgeführt wird.
Wie führt die TA505-Gruppe den Malware-Angriff aus?
Wie die meisten Angriffe der anderen TA505-Gruppe wird auch die neue AndroMut-Malware über legitim aussehende E-Mails verbreitet. Bei den Phishing-Angriffen handelt es sich um E-Mails, die sehr offiziell und authentisch aussehen und sich auch so anfühlen. Solche E-Mails behaupten normalerweise, Rechnungen und andere Dokumente zu enthalten, die angeblich im Zusammenhang mit Bank- und Finanzwesen stehen. E-Mails, die beim Phishing verwendet werden, werden häufig sorgfältig erstellt. Obwohl mehrere E-Mails das beliebte PDF-Dokument enthalten, scheinen sich Phishing-E-Mails aus der TA505-Gruppe auf Word-Dokumente zu stützen.
https://twitter.com/rsz619mania/status/1146387091598667777
Sobald das ahnungslose Opfer das geschnürte Word-Dokument öffnet, verlässt sich die Gruppe auf Social Engineering, um den Angriff fortzusetzen. Dies mag kompliziert klingen, aber tatsächlich beruht der Angriff auf einer ziemlich alten Methode von „Makros“ in Word-Dokumenten. Die Zielgruppen werden darüber informiert, dass die Informationen „geschützt“ sind und dass die Bearbeitung aktiviert werden muss, damit deren Inhalt angezeigt wird. Auf diese Weise werden Makros aktiviert und AndroMut kann an die Maschine geliefert werden. Diese Malware lädt dann diskret FlawedAmmyy herunter. Sobald beide installiert sind, sind die Maschinen der Opfer vollständig gefährdet.
Was ist AndroMut und wie funktioniert die mehrstufige Malware?
TA505 verwendet derzeit AndroMut als erste Stufe eines zweistufigen Angriffs. Mit anderen Worten, AndroMut ist der erste Teil einer erfolgreichen Infektion und Kontrolle der Computer der Opfer. Nach erfolgreicher Penetration verwendet AndroMut die Infektion, um diskret eine zweite Nutzlast auf die gefährdete Maschine abzulegen. Die zweite Nutzlast von Schadcode heißt FlawedAmmyy. Im Wesentlichen ist FlawedAmmyy ein leistungsstarker und effizienter RAS-Trojaner oder RAT.
Die aggressive RAT FlawedAmmyy der zweiten Stufe ist eine virulente Malware, die Remotezugriff auf die Computer der Opfer gewährt. Angreifer können Remote-Administratorrechte erhalten. Einmal drinnen, haben Angreifer vollständigen Zugriff auf Dateien, Anmeldeinformationen und mehr.
Im Übrigen sind die Daten an sich nicht das Ziel. Mit anderen Worten, das Stehlen von Daten ist nicht die primäre Absicht. Als Teil des Pivots sucht die TA505-Gruppe nach Informationen, die ihnen Zugang zum internen Netzwerk von Banken und anderen Finanzinstituten gewähren.
Die TA505-Gruppe folgt dem Geld, sagen Experten:
Chris Dawson sprach über die Aktivitäten der Hacking-Gruppe Beweispunkt sagte: "Der Schritt von A505, RATs und Downloader hauptsächlich in viel gezielteren Kampagnen zu verteilen, als sie zuvor bei Banking-Trojanern und Ransomware eingesetzt hatten, deutet auf eine grundlegende Änderung ihrer Taktik hin. Im Wesentlichen strebt die Gruppe nach Infektionen höherer Qualität mit dem Potenzial für eine längerfristige Monetarisierung - Qualität vor Quantität. “
Cyberkriminelle optimieren ihre Angriffe im Wesentlichen und wählen ihre Ziele aus, anstatt massive E-Mail-Kampagnen durchzuführen und die Opfer zu erwischen. Sie sind hinter den Daten und vor allem sensiblen Informationen her, um Geld zu stehlen. Der neueste Pivot ist im Wesentlichen nur ein Beispiel für Hacker, die dem Markt und dem Geld folgen. Daher sollte die Änderung der Strategie nicht als dauerhaft angesehen werden, bemerkte Dawson: „Was nicht klar ist, ist das endgültige Ergebnis oder Endspiel dieser Änderung. A505 folgt sehr dem Geld, passt sich den globalen Trends an und erkundet neue Regionen und Nutzlasten, um ihre Renditen zu maximieren. “