I ricercatori della sicurezza informatica martedì hanno svelato un attacco e-mail a volume di massa messo in scena da una prolifica banda di criminali informatici che ha colpito una vasta gamma di settori, con una delle sue operazioni specifiche per regione in particolare contro la Germania e l'Austria.
La società di sicurezza aziendale Proofpoint ha legato la campagna malware con grande fiducia a TA505 , che è il nome assegnato al gruppo di minacce finanziariamente motivato che è attivo nel business del crimine informatico almeno dal 2014 ed è dietro il famigerato trojan bancario Dridex e altri arsenali di malware strumenti come FlawedAmmyy, FlawedGrace, botnet Neutrino e Locky ransomware, tra gli altri.
Si dice che gli attacchi siano iniziati come una serie di ondate di e-mail a basso volume, consegnando solo diverse migliaia di messaggi in ogni fase, prima di aumentare a fine settembre e fino al 13 ottobre, risultando in decine o centinaia di migliaia di e-mail.
"Molte delle campagne, in particolare quelle di grande volume, assomigliano fortemente alla storica attività TA505 del 2019 e del 2020", hanno affermato i ricercatori. "I punti in comune includono convenzioni di denominazione del dominio simili, esche e-mail, esche file Excel e la consegna del Trojan di accesso remoto FlawedGrace (RAT)."
Il gruppo ha una comprovata esperienza di istituti di ricerca, banche, attività commerciali al dettaglio, società energetiche, istituzioni sanitarie, compagnie aeree e agenzie governative per motivi di profitto, con attività dannose che iniziano tipicamente all'apertura di allegati contenenti malware nei messaggi di phishing che si presume siano essere correlato ad aggiornamenti COVID-19, reclami assicurativi o notifiche sui file condivisi di Microsoft OneDrive.
"Nel corso del tempo, TA505 si è evoluto da un partner minore a un'operazione criminale matura, autosufficiente e versatile con un ampio spettro di obiettivi", ha affermato il gruppo NCC in un'analisi pubblicata nel novembre 2020. "Nel corso degli anni il gruppo ha fatto molto affidamento su terzi. servizi e strumenti di partito per supportare le sue attività fraudolente, tuttavia, il gruppo ora opera per lo più indipendentemente dall'infezione iniziale fino alla monetizzazione".
Il successo dell'ultima campagna, tuttavia, dipende dagli utenti che abilitano le macro dopo aver aperto gli allegati dannosi di Excel, pubblicando il quale viene scaricato un file MSI offuscato per recuperare i caricatori di fase successiva prima della consegna di una versione aggiornata di FlawedGrace RAT che incorpora il supporto per stringhe crittografate e chiamate API offuscate.
FlawedGrace — osservato per la prima volta nel novembre 2017 — è un trojan di accesso remoto (RAT) completo scritto in C++ e progettato deliberatamente per contrastare il reverse engineering e l'analisi. Viene fornito con un elenco di funzionalità che gli consentono di stabilire comunicazioni con un server di comando e controllo per ricevere istruzioni ed esfiltrare i risultati di tali comandi al server.
L'ondata di attacchi di ottobre dell'attore è significativa anche per il suo cambiamento di tattica, che include l'uso di caricatori intermedi riorganizzati script in linguaggi insoliti come Rebol e KiXtart al posto di Get2 , un downloader precedentemente distribuito dal gruppo per eseguire ricognizioni e scaricare e installare payload RAT della fase finale.
"TA505 è un affermato attore di minacce finanziariamente motivato e noto per condurre campagne di e-mail dannose su una scala mai vista prima", ha affermato Proofpoint. "Il gruppo cambia regolarmente i propri TTP ed è considerato un trendsetter nel mondo del crimine informatico. Questo attore di minacce non limita il suo obiettivo prefissato ed è, infatti, un pari opportunista con le aree geografiche e i verticali che sceglie di attaccare".
"Questo combinato con la capacità di TA505 di essere flessibile, concentrandosi su ciò che è più redditizio e spostando i suoi TTP secondo necessità, rende l'attore una minaccia continua", ha aggiunto la società di sicurezza informatica.
La società di sicurezza aziendale Proofpoint ha legato la campagna malware con grande fiducia a TA505 , che è il nome assegnato al gruppo di minacce finanziariamente motivato che è attivo nel business del crimine informatico almeno dal 2014 ed è dietro il famigerato trojan bancario Dridex e altri arsenali di malware strumenti come FlawedAmmyy, FlawedGrace, botnet Neutrino e Locky ransomware, tra gli altri.
Si dice che gli attacchi siano iniziati come una serie di ondate di e-mail a basso volume, consegnando solo diverse migliaia di messaggi in ogni fase, prima di aumentare a fine settembre e fino al 13 ottobre, risultando in decine o centinaia di migliaia di e-mail.
"Molte delle campagne, in particolare quelle di grande volume, assomigliano fortemente alla storica attività TA505 del 2019 e del 2020", hanno affermato i ricercatori. "I punti in comune includono convenzioni di denominazione del dominio simili, esche e-mail, esche file Excel e la consegna del Trojan di accesso remoto FlawedGrace (RAT)."
Il gruppo ha una comprovata esperienza di istituti di ricerca, banche, attività commerciali al dettaglio, società energetiche, istituzioni sanitarie, compagnie aeree e agenzie governative per motivi di profitto, con attività dannose che iniziano tipicamente all'apertura di allegati contenenti malware nei messaggi di phishing che si presume siano essere correlato ad aggiornamenti COVID-19, reclami assicurativi o notifiche sui file condivisi di Microsoft OneDrive.
"Nel corso del tempo, TA505 si è evoluto da un partner minore a un'operazione criminale matura, autosufficiente e versatile con un ampio spettro di obiettivi", ha affermato il gruppo NCC in un'analisi pubblicata nel novembre 2020. "Nel corso degli anni il gruppo ha fatto molto affidamento su terzi. servizi e strumenti di partito per supportare le sue attività fraudolente, tuttavia, il gruppo ora opera per lo più indipendentemente dall'infezione iniziale fino alla monetizzazione".
Il successo dell'ultima campagna, tuttavia, dipende dagli utenti che abilitano le macro dopo aver aperto gli allegati dannosi di Excel, pubblicando il quale viene scaricato un file MSI offuscato per recuperare i caricatori di fase successiva prima della consegna di una versione aggiornata di FlawedGrace RAT che incorpora il supporto per stringhe crittografate e chiamate API offuscate.
FlawedGrace — osservato per la prima volta nel novembre 2017 — è un trojan di accesso remoto (RAT) completo scritto in C++ e progettato deliberatamente per contrastare il reverse engineering e l'analisi. Viene fornito con un elenco di funzionalità che gli consentono di stabilire comunicazioni con un server di comando e controllo per ricevere istruzioni ed esfiltrare i risultati di tali comandi al server.
L'ondata di attacchi di ottobre dell'attore è significativa anche per il suo cambiamento di tattica, che include l'uso di caricatori intermedi riorganizzati script in linguaggi insoliti come Rebol e KiXtart al posto di Get2 , un downloader precedentemente distribuito dal gruppo per eseguire ricognizioni e scaricare e installare payload RAT della fase finale.
"TA505 è un affermato attore di minacce finanziariamente motivato e noto per condurre campagne di e-mail dannose su una scala mai vista prima", ha affermato Proofpoint. "Il gruppo cambia regolarmente i propri TTP ed è considerato un trendsetter nel mondo del crimine informatico. Questo attore di minacce non limita il suo obiettivo prefissato ed è, infatti, un pari opportunista con le aree geografiche e i verticali che sceglie di attaccare".
"Questo combinato con la capacità di TA505 di essere flessibile, concentrandosi su ciò che è più redditizio e spostando i suoi TTP secondo necessità, rende l'attore una minaccia continua", ha aggiunto la società di sicurezza informatica.
Commenti
Posta un commento