TA505 Hackers Group модифицирует инструмент удаленного администрирования как вооруженный инструмент взлома для атаки жертв в США, APAC, Европе | DedicateT.com

Регистрация
18.12.2017
Сообщения
748
Симпатии
301
Баллы
180
#1
TA505-Hackers-Group.png

Участники угрозы из ta505 hacking group проводят атаку новой волны, изменяя законный инструмент удаленного администрирования на вооруженный инструмент взлома, который нацелен на розничных торговцев в США и различные финансовые учреждения из Европы, APAC и LATAM.

TA505 хакерская группа, как полагают, проживают в России и угрозы актеров из этой группы , участвующих в различных громких кибератак , включая печально известный Dridex , Locky вымогателей, ServHelper вредоносных программ, FlawedAmmyy, доставленных через вредоносные кампании по электронной почте.

Эта организованная группа киберпреступников нацелена на жертв в основном для финансовой мотивации, получая доступ к их системе для выполнения мошеннических финансовых транзакций.

Для достижения этих целей участники угроз злоупотребляют remote manipulator system, русскоязычным законным инструментом удаленного администрирования, который доступен для коммерческой версии и бесплатной версии для некоммерческих целей.

Инструмент RMS на подземном рынке
Трещины версия RMS инструмент продажи в подземных форумах, которые получают TA505 угрозы актеров и с помощью его функции, включая пульт дистанционного управления с поддержкой нескольких мониторов, диспетчер задач, передача файлов, интерфейс командной строки, возможности сетевого отображения, веб-камера и микрофон доступ, который все общие черты хорошо развитой Троянского удаленного доступа.

Большая часть Трояна удаленного доступа может взаимодействовать со своим оператором через сервер управления и управления. Аналогичным образом, служба управления правами включала функцию “ID-Интернет”, которая помогает взаимодействовать с сервером разработчика для отправки уведомления по электронной почте, которое используется менее сложными участниками угроз.

Злоумышленник связал эти функции с возможностью установки и бесшумной работы инструмента, что делает его лучшим решением как для сложных, так и для неискушенных участников угроз.

Но это способствует высокоразвитым актерам угроз, таким как TA505, поддерживая “вариант самостоятельного хостинга”, который позволяет им настраивать свой собственный сервер удаленной утилиты (RU).

В соответствии с cyberit отчет, этот RU поддерживает три роли, которые могут быть развернуты индивидуально или вместе, хотя один за другим, сервер ретрансляции, вероятно, будет использоваться в гнусных реализациях.

Это Реле отрежет действуйте как посредник с скомпрометированными клиентами RMS, звонящими домой к нему и идентифицирующими себя с их “интернет-идентификатором”, облегчающим связь, которая позволяет обходить брандмауэр и устройства NAT.


Инфекционный процесс
Злоумышленники доставляют копье-фишинговую кампанию с прикрепленными документами Приманки и обманывают жертв, чтобы открыть ее, используя законный разговор, логотип, терминологию.

После того, как жертвы откроют документы, попросите их отключить элементы управления безопасностью для выполнения макроса, который пытается загрузить вредоносную полезную нагрузку от злоумышленников, общаясь через их инфраструктуру управления и контроля.

Домен сервера C2 в основном размещен как законные домены, но его немного неправильно, что связано с облаком, Microsoft Office 365.

Initial malware downloader является более сложным и надежным, который в основном используется для сбора другого компонента, включая троянец удаленного доступа, законный инструмент управления правами, сценарии оболочки и серверы для заражения целевой системы, чтобы украсть финансовые данные.

Здесь также можно прочитать шаги настройки инструмента управления правами, технические сведения о заражении и индикаторы компрометации.
 
Похожие темы:

Пользователи, которые просматривали тему (Всего: 0)

Тема долгое время не просматривалась.