Odkrita je bila na novo odkrita plošča za kibernetske napade, imenovana TeslaGun, ki jo Evil Corp uporablja za vodenje zakulisnih kampanj ServHelper.
Podatki, zbrani v analizi skupine Prodraft Threat Intelligence (PTI), kažejo, da je združba izsiljevalske programske opreme Evil Corp (aka TA505 ali UNC2165, skupaj s pol ducata drugih barvitih sledilnih imen) uporabljala TeslaGun za izvajanje množičnih lažnih kampanj in ciljanih kampanj proti več kot 8,000 različnih organizacij in posameznikov. Večina tarč je bila v ZDA, ki predstavljajo več kot 3,600 žrtev, z razpršeno mednarodno porazdelitvijo zunaj tega območja.
Zlonamerna programska oprema za zakulisna vrata ServHelper se nenehno širi, dolgo delujoč in nenehno posodobljen paket, ki se uporablja vsaj od leta 2019. V drugi polovici leta 2021 se je znova začel razvijati, pravi poročilo podjetja Cisco Talos, ki ga spodbujajo mehanizmi, kot so lažni namestitveni programi in z njimi povezana zlonamerna programska oprema, kot sta Raccoon in Amadey.
Nazadnje, obveščanje o grožnjah podjetja Trellix prejšnji mesec poročali, da je bilo pred kratkim ugotovljeno, da zadnja vrata ServHelper spuščajo skrite rudarje kripto v sisteme.
Poročilo PTI, ki je bil izdan v torek, se poglobi v tehnične posebnosti za TeslaGun in ponuja nekaj podrobnosti in nasvetov, ki lahko pomagajo podjetjem pri napredovanju s pomembnimi protiukrepi proti nekaterim današnjim prevladujočim trendom kibernetskih napadov za zakulisnimi vrati.
Napadi za zakulisjem, ki zaobidejo mehanizme za preverjanje pristnosti in tiho vzpostavijo obstojnost v sistemih podjetja, so nekateri najbolj moteči za zagovornike kibernetske varnosti. To je zato, ker je te napade znano težko odkriti ali preprečiti s standardnimi varnostnimi kontrolami.
Zakulisni napadalci diverzificirajo svoja sredstva za napade
Raziskovalci PTI so povedali, da so med svojimi preiskavami opazili široko paleto različnih profilov žrtev in kampanj, kar podpira prejšnje raziskave, ki so pokazale, da napadi ServHelper iščejo žrtve v različnih sočasnih kampanjah. To je vzorec napada na blagovno znamko, ki meče široko mrežo za oportunistične zadetke.
"Ena instanca nadzorne plošče TeslaGun vsebuje več zapisov o kampanjah, ki predstavljajo različne načine dostave in podatke o napadih," je pojasnilo poročilo. "Novejše različice zlonamerne programske opreme kodirajo te različne kampanje kot ID-je oglaševalskih akcij."
Toda kibernetski napadalci bodo aktivno profilirali žrtve
Hkrati TeslaGun vsebuje veliko dokazov, da napadalci profilirajo žrtve, si na nekaterih točkah delajo obsežne zapiske in izvajajo ciljne napade zakulisja.
»Ekipa PTI je opazila, da glavna nadzorna plošča plošče TeslaGun vključuje komentarje, priložene zapisom žrtev. Ti zapisi prikazujejo podatke o napravah žrtev, kot so CPE, GPE, velikost RAM-a in hitrost internetne povezave,« je zapisano v poročilu, ki pojasnjuje, da to kaže na ciljanje na priložnosti kripto rudarjenja. "Po drugi strani pa je glede na komentarje žrtev jasno, da TA505 aktivno išče uporabnike spletnega bančništva ali maloprodajnih uporabnikov, vključno s kripto denarnicami in računi za e-trgovino."
Poročilo navaja, da se zdi, da večina žrtev deluje v finančnem sektorju, vendar to ciljanje ni izključno.
Nadaljnja prodaja je pomemben del zaslužka prek zakulisnih vrat
Način, na katerega so nastavljene uporabniške možnosti nadzorne plošče, je raziskovalcem ponudil veliko informacij o "poteku dela in komercialni strategiji" skupine, piše v poročilu. Na primer, nekatere možnosti filtriranja so bile označene kot »Prodaja« in »Prodaja 2«, žrtve v teh skupinah pa so imele prek plošče začasno onemogočene protokole oddaljenega namizja (RDP).
"To verjetno pomeni, da TA505 ne more takoj zaslužiti dobička z izkoriščanjem teh žrtev," piše v poročilu. "Namesto da bi jih izpustili, je skupina označila povezave RDP teh žrtev za nadaljnjo prodajo drugim kiberkriminalcem."
Poročilo PTI pravi, da je na podlagi opazovanj raziskovalcev notranja struktura skupine "presenetljivo neorganizirana", vendar njeni člani še vedno "pozorno spremljajo svoje žrtve in lahko izkažejo izjemno potrpežljivost, zlasti z žrtvami visoke vrednosti v finančnem sektorju."
Analiza nadalje ugotavlja, da je moč skupine njena agilnost, zaradi katere je težko predvideti aktivnost in jo zaznati skozi čas.
Kljub temu napadalci zakulisja niso popolni in to lahko ponudi nekaj namigov strokovnjakom za kibernetsko varnost, ki želijo preprečiti njihova prizadevanja.
»Skupina vendarle kaže nekaj očitnih slabosti. Medtem ko lahko TA505 mesece vzdržuje skrite povezave na napravah žrtev, so njegovi člani pogosto nenavadno hrupni,« piše v poročilu. »Po namestitvi ServHelper se lahko akterji groženj TA505 ročno povežejo z napravami žrtev prek tuneliranja RDP. Varnostne tehnologije, ki so sposobne zaznati te tunele, se lahko izkažejo za ključnega pomena za lovljenje in ublažitev napadov zakulisja TA505.«
Z Rusijo povezana (in sankcionirana) Evil Corp je bila ena najbolj plodovitih skupin v zadnjih petih letih. Glede na Ameriška vlada, je skupina možganski trust, ki stoji za finančnim trojancem Dridex in je povezana s kampanjami, ki uporabljajo različice izsiljevalske programske opreme, kot je WastedLocker. Še naprej brusi vrsto orožja tudi za svoj arzenal; prejšnji teden je prišlo na dan, da je povezana z Okužbe Raspberry Robin.
PTI uporablja TA505 za sledenje grožnji in soglasje je trdno vendar ne univerzalno, da sta TA505 in Evil Corp ista skupina. Poročilo prejšnji mesec iz Koordinacijski center za kibernetsko varnost zdravstvenega sektorja (HC3) dejal, da "trenutno ne podpira tega sklepa."
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
