กลุ่มแฮ็คมือโปรกำลังเปลี่ยนไปใช้มัลแวร์รูปแบบใหม่ด้วย 'AndroMut' โดยมุ่งเป้าไปที่ข้อมูลทางการเงินและธนาคารโดยใช้วิศวกรรมสังคม
กลุ่มแฮ็คมืออาชีพที่มีเทคนิคที่ซับซ้อนในการดำเนินการฟิชชิ่งและการโจมตีมัลแวร์ในรูปแบบอื่นๆ ดูเหมือนจะเปลี่ยนทิศทาง ด้วยเป้าหมายที่ชัดเจนในการจัดลำดับความสำคัญของคุณภาพมากกว่าปริมาณ กลุ่มแฮกเกอร์ TA505 ที่น่าอับอายจึงได้เปลี่ยนรูปแบบโดยใช้โค้ดที่เป็นอันตรายรูปแบบใหม่ชื่อ AndroMut ที่น่าสนใจคือมัลแวร์ดังกล่าวได้รับแรงบันดาลใจจาก Andromeda เดิมทีได้รับการออกแบบโดยกลุ่มแฮ็คอื่น Andromeda เป็นหนึ่งในบ็อตเน็ตมัลแวร์ที่ใหญ่ที่สุดในโลกเมื่อเร็ว ๆ นี้ในปี 2560 บ็อตเน็ตที่ใช้รหัส Andromeda ดำเนินการส่งมอบเพย์โหลดได้สำเร็จบนพีซีที่น่าสงสัยและมีช่องโหว่หลายเครื่องที่ใช้ระบบปฏิบัติการ Windows ดูเหมือนว่า AndroMut จะใช้รหัส Andromeda เป็นหลักซึ่งบ่งชี้ถึงการทำงานร่วมกันที่เป็นไปได้ระหว่างกลุ่มแฮ็กเกอร์
กลุ่มอาชญากรไซเบอร์ที่ประสบความสำเร็จมากที่สุดกลุ่มหนึ่งของโลกที่เรียกตัวเองว่า TA505 ดูเหมือนจะปรับเปลี่ยนยุทธวิธีของตน ในฐานะที่เป็นส่วนหนึ่งของแคมเปญมุ่งร้ายล่าสุดในการโจมตีและขโมยข้อมูลทางการเงิน กลุ่มนี้กำลังยุ่งอยู่กับการแจกจ่ายมัลแวร์รูปแบบใหม่ แทนที่จะมุ่งเป้าไปที่บุคคลจำนวนมาก ซึ่งเป็นส่วนหนึ่งของ pivot กลุ่ม TA505 ดูเหมือนจะไล่ตามธนาคารและบริการทางการเงินอื่นๆ อนึ่ง จุดเริ่มต้นหรือจุดเริ่มต้นยังคงเหมือนเดิม แต่เป้าหมายและจุดเน้นที่ตั้งใจไว้ดูเหมือนจะอยู่ที่ภาคการเงินที่มีการจัดระเบียบ อนึ่ง บริษัทการเงินในสหรัฐอเมริกา สหรัฐอาหรับเอมิเรตส์ และสิงคโปร์ ได้รับการเตือนให้ตื่นตัวและมองหาเนื้อหาที่น่าสงสัย ประเด็นทั่วไปบางประการของการโจมตียังคงเป็นอีเมลที่ดูเป็นทางการ
TA505 Group ใช้ฐาน Andromeda เพื่อพัฒนาและปรับใช้ AndroMut
กลุ่ม TA505 ที่น่าอับอายดูเหมือนจะเพิ่มความเข้มข้นขึ้นในช่วงเดือนที่ผ่านมาและยังคงดำเนินต่อไปด้วยความดุร้ายเช่นเดียวกัน จะไม่พยายามปรับใช้คลื่นสุ่มของการโจมตีที่พยายามเข้าควบคุมเครื่องจักรของเหยื่ออีกต่อไป กล่าวอีกนัยหนึ่ง อีเมลฟิชชิ่งจำนวนมากไม่ใช่กลวิธีที่ต้องการอีกต่อไป ในทางกลับกัน กลุ่ม TA505 ได้ลดปริมาณการโจมตีลงอย่างมาก และได้เปลี่ยนไปใช้การโจมตีแบบกำหนดเป้าหมายมากขึ้นอย่างชัดเจน
จากการวิเคราะห์อีเมลที่น่าสงสัยหลายฉบับและรูปแบบอื่น ๆ ของการสื่อสารทางอิเล็กทรอนิกส์และสื่อ นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Proofpoint ได้ระบุว่ากลุ่มแฮกเกอร์ดูเหมือนจะมุ่งเป้าไปที่พนักงานของธนาคารและผู้ให้บริการทางการเงินอื่นๆ นักวิจัยยังได้ค้นพบการใช้งานมัลแวร์ที่มีความซับซ้อนรูปแบบใหม่ นักวิจัยเรียกมันว่า AndroMut และพบว่ามัลแวร์มีความคล้ายคลึงกันเล็กน้อยกับ Andromeda ออกแบบและใช้งานโดยกลุ่มแฮกเกอร์ที่แตกต่างกันโดยสิ้นเชิง Andromeda เป็นหนึ่งในเครือข่ายบ็อตเน็ตมัลแวร์ที่ประสบความสำเร็จมากที่สุดในโลก จนถึงปี 2017 แอนโดรเมดามีการแพร่กระจายอย่างมากมาย และประสบความสำเร็จในการติดตั้งตัวเองบนพีซีที่มีช่องโหว่ซึ่งใช้ระบบปฏิบัติการ Windows
TA505 Group ดำเนินการโจมตีมัลแวร์อย่างไร?
เช่นเดียวกับการโจมตีของกลุ่ม TA505 อื่นๆ มัลแวร์ AndroMut ตัวใหม่ก็ถูกแจกจ่ายผ่านอีเมลที่ดูถูกกฎหมายเช่นกัน การโจมตีแบบฟิชชิงเกี่ยวข้องกับอีเมลที่ดูเป็นทางการและเป็นของแท้ อีเมลดังกล่าวมักจะอ้างว่ามีใบแจ้งหนี้และเอกสารอื่นๆ ที่อ้างว่าเกี่ยวข้องกับการธนาคารและการเงิน อีเมลที่ใช้ในการฟิชชิงมักจะสร้างขึ้นมาด้วยความอุตสาหะ แม้ว่าอีเมลหลายฉบับจะมีเอกสาร PDF ยอดนิยม แต่อีเมลฟิชชิ่งจากกลุ่ม TA505 ดูเหมือนจะใช้เอกสาร Word
https://twitter.com/rsz619mania/status/1146387091598667777
เมื่อเหยื่อที่ไม่สงสัยเปิดเอกสาร Word ที่ถูกผูกไว้กลุ่มดังกล่าวต้องอาศัยวิศวกรรมสังคมเพื่อดำเนินการโจมตีต่อไป นี่อาจฟังดูซับซ้อน แต่จริงๆ แล้ว การโจมตีนั้นอาศัยวิธีการ 'มาโคร' ในเอกสาร Word ที่ค่อนข้างโบราณ เป้าหมายได้รับแจ้งว่าข้อมูลได้รับการ 'ป้องกัน' และจำเป็นต้องเปิดใช้งานการแก้ไขเพื่อดูเนื้อหา เพื่อเปิดใช้มาโครและอนุญาตให้ส่ง AndroMut ไปยังเครื่อง มัลแวร์นี้จะดาวน์โหลด FlawedAmmyy อย่างระมัดระวัง เมื่อติดตั้งทั้งสองเครื่องแล้ว เครื่องจักรของเหยื่อจะถูกบุกรุกอย่างเต็มที่
AndroMut คืออะไรและมัลแวร์แบบหลายขั้นตอนทำงานอย่างไร
TA505 กำลังใช้ AndroMut เป็นด่านแรกในการโจมตีแบบสองขั้นตอน กล่าวอีกนัยหนึ่ง AndroMut เป็นส่วนแรกของการติดไวรัสและการควบคุมคอมพิวเตอร์ของเหยื่อที่ประสบความสำเร็จ เมื่อประสบความสำเร็จในการเจาะ AndroMut ใช้การติดไวรัสเพื่อวางเพย์โหลดที่สองลงบนเครื่องที่ถูกบุกรุกอย่างระมัดระวัง ส่วนข้อมูลโค้ดอันตรายที่สองเรียกว่า FlawedAmmyy โดยพื้นฐานแล้ว FlawedAmmyy เป็นโทรจันการเข้าถึงระยะไกลหรือ RAT ที่ทรงพลังและมีประสิทธิภาพ
RAT FlawedAmmyy ขั้นที่สองที่ก้าวร้าวเป็นมัลแวร์ที่รุนแรงที่ให้การเข้าถึงคอมพิวเตอร์ของเหยื่อจากระยะไกล ผู้โจมตีสามารถรับสิทธิ์การดูแลระบบจากระยะไกลได้ เมื่อเข้าไปข้างในแล้ว ผู้โจมตีจะสามารถเข้าถึงไฟล์ ข้อมูลประจำตัว และอื่นๆ ได้อย่างสมบูรณ์
อนึ่ง ข้อมูลในตัวเองไม่ใช่เป้าหมาย กล่าวอีกนัยหนึ่งการขโมยข้อมูลไม่ใช่เจตนาหลัก ในฐานะที่เป็นส่วนหนึ่งของ pivot กลุ่ม TA505 อยู่หลังข้อมูลที่อนุญาตให้พวกเขาเข้าถึงเครือข่ายภายในของธนาคารและสถาบันการเงินอื่นๆ
TA505 Group กำลังติดตามเงิน กล่าวโดยผู้เชี่ยวชาญ:
Chris Dawson หัวหน้าหน่วยข่าวกรองภัยคุกคามที่พูดเกี่ยวกับกิจกรรมของกลุ่มแฮ็ก พิสูจน์อักษร กล่าวว่า“ การย้าย A505 ไปสู่การกระจาย RAT และผู้ดาวน์โหลดในแคมเปญที่ตรงเป้าหมายเป็นหลักมากกว่าที่เคยใช้กับโทรจันและแรนซัมแวร์ของธนาคารซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงพื้นฐานในกลยุทธ์ของพวกเขา โดยพื้นฐานแล้วกลุ่มนี้กำลังดำเนินไปตามการติดเชื้อที่มีคุณภาพสูงขึ้นและมีศักยภาพในการสร้างรายได้ในระยะยาว - คุณภาพมากกว่าปริมาณ”
อาชญากรไซเบอร์กำลังปรับแต่งการโจมตีของพวกเขาโดยพื้นฐานแล้วและกำลังเลือกเป้าหมายแทนที่จะดำเนินการแคมเปญอีเมลจำนวนมากและหวังว่าจะขัดขวางผู้ที่ตกเป็นเหยื่อ พวกเขาติดตามข้อมูลและที่สำคัญกว่านั้นคือข้อมูลที่ละเอียดอ่อนเพื่อขโมยเงิน pivot ล่าสุดเป็นเพียงตัวอย่างของแฮ็กเกอร์ที่ติดตามตลาดและเงิน ดังนั้นการเปลี่ยนแปลงในกลยุทธ์จึงไม่ควรพิจารณาอย่างถาวร Dawson กล่าว “สิ่งที่ไม่ชัดเจนคือผลลัพธ์สุดท้ายหรือจุดจบของการเปลี่ยนแปลงนี้ A505 ติดตามเงินเป็นอย่างมาก ปรับตัวให้เข้ากับแนวโน้มทั่วโลก และสำรวจภูมิศาสตร์และเพย์โหลดใหม่ๆ เพื่อเพิ่มผลตอบแทนสูงสุด”
