Компания Proofpoint опубликовала новый отчёт о деятельности хакерской группы TA505. Полагают, что эта группировка существует как минимум с 2014 года и ответственна за такие хакерские атаки, как распространение банкера Drirex и шифровальщика Locky. Также, её ассоциируют с вымогателями Philadelphia и GlobeImposter.
По данным экспертов Proofpoint, в ходе новой кампании, начатой в ноябре и продолжавшейся в декабре, TA505 атаковала финансовые учреждения и заведения розничной торговли в разных странах, рассылая фишинговые письма с вложенными файлами Microsoft Word, Microsoft Publisher и PDF.
Proofpoint установила, что на это раз инфраструктура, которую злоумышленники использовали, не имеет отношения к ботнету Necurs. Видимо, сейчас группировка предпочитает концентрироваться на троянах удалённого доступа, и шифровальщики остались в прошлом.
Вложенные в письма вредоносные файлы приводили к загрузке написанного на Delphi бэкдора ServHelper, предназначенного для Windows-машин. Например, ServHelper служит для создания SSH-тоннелей и обеспечивает доступ к RDP-порту 3389. Тем не менее, другие выявленные вариации ServHelper не имели такой функциональности и служили только загрузчиками для RAT FlawedGrace, написанного на C++.
Эксперты отмечают, что хакеры активно обновляют и развивают бэкдор, добавляя новые функции и команды, поэтому практически во всех кампаниях использовались различные вариации ServHelper.
Для защиты управляющих серверов TA505 использует приватные домены (в частности, dedsolutions[.]bit и arepos[.]bit) в децентрализованной доменной зоне .bit (Namecoin) – системе альтернативных корневых DNS-серверов, в основу которой положена технология блокчейн.
Следует отметить, что специалисты Proofpoint не первыми обнаружили FlawedGrace: троян был замечен ещё в 2017 году. До сих пор эксперты сталкивались с несколькими разными версиями вредоносного ПО, однако RAT оставался практически неактивным, а теперь был значительно переработан.
Источник: coinspot.io
Эксперты рассказывают, что новая кампания TA505 началась в ноябре 2018 года и продолжилась в декабре: хакеры атаковали финансовые учреждения и ритейл в разных странах мира, используя фишинговые письма с вложенными файлами Microsoft Word, Microsoft Publisher, PDF. Исследователи установили, что инфраструктура, которую злоумышленники на этот раз использовали для атак, не имеет отношения к ботнету Necurs, как ранее. Более того, похоже, что теперь группировка решила сконцентрироваться на троянах удаленного доступа, оставив шифровальщики в прошлом.
Из других инструментов часто пускались в ход родственные Javascript-бэкдоры —простенький IcedCoffee, используемый для загрузки других зловредов, и более разносторонний KopiLuwak. Последний летом был замечен в атаках на научно-исследовательский институт по проблемам энергетики, а также на государственные учреждения Сирии и Афганистана.