Была обнаружена недавно обнаруженная панель кибератак под названием TeslaGun, используемая Evil Corp для запуска бэкдор-кампаний ServHelper.
Данные, полученные в результате анализа, проведенного командой Prodraft Threat Intelligence (PTI), показывают, что банда вымогателей Evil Corp (также известная как TA505 или UNC2165, а также полдюжины других ярких имен для отслеживания) использовала TeslaGun для проведения массовых фишинговых кампаний и целевых кампаний против более более 8,000 различных организаций и частных лиц. Большинство целей находилось в США, на долю которых пришлось более 3,600 жертв, а за их пределами были разбросаны по всему миру.
Продолжается расширение вредоносного ПО бэкдора ServHelper, давно существующего и постоянно обновляемого пакета, который существует как минимум с 2019 года. По данным отчет от Cisco Talos, вызванный такими механизмами, как поддельные установщики и связанные с ними вредоносные программы-установщики, такие как Raccoon и Amadey.
Совсем недавно, информация об угрозах от Trellix В прошлом месяце сообщалось, что недавно был обнаружен бэкдор ServHelper, сбрасывающий в системы скрытые криптомайнеры.
Отчет PTI, выпущенный во вторник, углубляется в технические особенности TeslaGun и предлагает некоторые детали и советы, которые могут помочь предприятиям двигаться вперед с важными мерами противодействия некоторым из преобладающих сегодня тенденций бэкдорных кибератак.
Бэкдор-атаки, которые обходят механизмы аутентификации и незаметно обеспечивают постоянство в корпоративных системах, являются одними из самых смущающих для защитников кибербезопасности. Это связано с тем, что эти атаки крайне сложно обнаружить или предотвратить с помощью стандартных мер безопасности.
Злоумышленники с бэкдора диверсифицируют свои атакующие активы
Исследователи PTI заявили, что в ходе своих расследований они наблюдали широкий спектр различных профилей жертв и кампаний, подтверждая предыдущие исследования, которые показали, что атаки ServHelper выслеживают жертв в различных одновременных кампаниях. Это фирменная модель атаки, заключающаяся в создании широкой сети оппортунистических хитов.
«Один экземпляр панели управления TeslaGun содержит несколько записей кампании, представляющих различные методы доставки и данные об атаках», — поясняется в отчете. «Более новые версии вредоносного ПО кодируют эти различные кампании как идентификаторы кампаний».
Но киберпреступники будут активно профилировать жертв
В то же время TeslaGun содержит множество доказательств того, что злоумышленники составляют профили жертв, делают подробные записи в некоторых моментах и проводят целевые бэкдор-атаки.
«Команда PTI заметила, что главная панель панели TeslaGun содержит комментарии, прикрепленные к записям жертв. В этих записях показаны данные об устройстве жертвы, такие как процессор, графический процессор, размер оперативной памяти и скорость подключения к Интернету», — говорится в отчете, поясняя, что это указывает на нацеленность на возможности криптомайнинга. «С другой стороны, согласно комментариям жертв, становится ясно, что TA505 активно ищет пользователей онлайн-банкинга или розничной торговли, включая криптокошельки и учетные записи электронной коммерции».
В отчете говорится, что большинство жертв, судя по всему, работают в финансовом секторе, но эти нападения не являются исключительными.
Перепродажа — важная часть монетизации бэкдора
Способ настройки пользовательских опций панели управления предоставил исследователям много информации о «рабочем процессе и коммерческой стратегии группы», говорится в отчете. Например, некоторые параметры фильтрации были помечены как «Продать» и «Продать 2», причем у жертв в этих группах протоколы удаленного рабочего стола (RDP) были временно отключены через панель.
«Вероятно, это означает, что TA505 не сможет сразу получить прибыль от эксплуатации этих конкретных жертв», — говорится в отчете. «Вместо того, чтобы отпустить их, группа пометила RDP-соединения этих жертв для перепродажи другим киберпреступникам».
В отчете PTI говорится, что, по наблюдениям исследователей, внутренняя структура группы была «на удивление дезорганизована», но ее члены по-прежнему «тщательно следят за своими жертвами и могут демонстрировать удивительное терпение, особенно в отношении крупных жертв в финансовом секторе».
В анализе также отмечается, что сила группы заключается в ее гибкости, из-за которой ее сложно прогнозировать и обнаруживать с течением времени.
Тем не менее, злоумышленники с бэкдора не идеальны, и это может дать некоторые подсказки для специалистов по кибербезопасности, которые хотят помешать их усилиям.
«Однако группа действительно демонстрирует некоторые явные слабости. Хотя TA505 может поддерживать скрытые соединения на устройствах жертв в течение нескольких месяцев, ее члены часто необычайно шумны», — говорится в отчете. «После установки ServHelper злоумышленники TA505 могут вручную подключаться к устройствам жертвы через туннелирование RDP. Технологии безопасности, способные обнаруживать эти туннели, могут оказаться жизненно важными для перехвата и смягчения бэкдор-атак TA505».
Связанная с Россией (и находящаяся под санкциями) Корпорация Зла была одной из самых плодовитых группировок за последние пять лет. Согласно Правительство США, группа является мозговым трестом, стоящим за финансовым трояном Dridex, и связана с кампаниями, использующими такие варианты программ-вымогателей, как WastedLocker. Он также продолжает совершенствовать множество видов оружия для своего арсенала; на прошлой неделе выяснилось, что это связано с Инфекции малинового Робина.
PTI использует TA505 для отслеживания угроз и консенсус прочный но не универсально, что TA505 и Evil Corp — одна и та же группа. Отчет в прошлом месяце от Координационный центр кибербезопасности сектора здравоохранения (HC3) заявил, что «в настоящее время не поддерживает этот вывод».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов