Группировка TA505 использует легитимные инструменты для атак на немецкие фирмы - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
25-03-2020, 00:01
Группировка TA505 использует легитимные инструменты для атак на немецкие фирмы - «Новости»
Рейтинг:
Категория: Новости

Компания Prevailion предупредила, что русскоязычная хак-группа TA505 (она же Evil Corp) стала активно использовать легитимные инструменты (в дополнение к малвари) для атак на немецкие компании. Напомню, что эту группировка в первую очередь известна благодаря использованию трояна Dridex и вымогателя Locky, но также применяет множество других вредоносных программ, включая BackNet, Cobalt Strike, ServHelper, Bart, FlawedAmmyy, SDBbot RAT, DoppelPaymer и так далее.


Исследователи из Prevailion обнаружили, что с лета 2019 года TA505 проводит кампанию, ориентированную на немецкие фирмы. Хакеры рассылают своим целям письма с фальшивыми резюме для приема на работу. В этих письмах содержится вредоносное вложение, предназначенное для кражи учетных данных и данных кредитных карт.


Но если в 2019 году злоумышленники использовали для шифрования файлов потерпевших доступный на рынке вымогатель, то в более недавних операциях они перешли на коммерческий инструмент для удаленного администрирования NetSupport, размещенный в Google Drive.


Эксперты предупреждают, что посредством использования таких легитимных инструментов, которые вряд ли получится обнаружить традиционным защитными решениями, злоумышленники могут выполнять широкий спектр действий, в том числе похищать файлы, делать скриншоты и записывать звук.


Так, на начальном этапе атаки код из вредоносного резюме запускает скрипт для извлечения дополнительных пейлоадов и сбора данных о компьютере жертвы (список установленных программ, имя компьютера, домена и так далее). Затем малварь пытается собрать сохраненные учетные данные из браузеров и почтовых клиентов, файлы cookie и данные кредитных карт.


Украденные учетные данные архивируются и отправляются на управляющий сервер злоумышленников, а затем создается запланированное задание, а BAT-файл удаляет все следы атаки.


Исследователи отмечают, что летом 2019 года атаки также имели вымогательский компонент: диски на локальных машинах шифровались с использованием открытого ключа GPG, теневые копии удалялись, а некоторые данные переправлялись на адрес zalock[@]airmail.cc.


Для новых же атак используется загрузчик (по-видимому, rekt), который был разработан для связи с Google Drive и загрузки дополнительных файлов. Пейлоад второго этапа атаки был идентифицирован как коммерческое приложение NetSupport для удаленной работы.



Группировка TA505 использует легитимные инструменты для атак на немецкие фирмы - «Новости»

Некоторые из обнаруженных вариантов rekt датированы апрелем 2019 года. Также исследователи выявили образцы, подписанные цифровой подписью, которая использовалась и для подписи двух троянов FlawwedAmmy. Их тоже ранее связывали с TA505, так что исследователи уверенно заявляют, что за обнаруженными атаками стоит именно названная хак-группа.


Компания Prevailion предупредила, что русскоязычная хак-группа TA505 (она же Evil Corp) стала активно использовать легитимные инструменты (в дополнение к малвари) для атак на немецкие компании. Напомню, что эту группировка в первую очередь известна благодаря использованию трояна Dridex и вымогателя Locky, но также применяет множество других вредоносных программ, включая BackNet, Cobalt Strike, ServHelper, Bart, FlawedAmmyy, SDBbot RAT, DoppelPaymer и так далее. Исследователи из Prevailion обнаружили, что с лета 2019 года TA505 проводит кампанию, ориентированную на немецкие фирмы. Хакеры рассылают своим целям письма с фальшивыми резюме для приема на работу. В этих письмах содержится вредоносное вложение, предназначенное для кражи учетных данных и данных кредитных карт. Но если в 2019 году злоумышленники использовали для шифрования файлов потерпевших доступный на рынке вымогатель, то в более недавних операциях они перешли на коммерческий инструмент для удаленного администрирования NetSupport, размещенный в Google Drive. Эксперты предупреждают, что посредством использования таких легитимных инструментов, которые вряд ли получится обнаружить традиционным защитными решениями, злоумышленники могут выполнять широкий спектр действий, в том числе похищать файлы, делать скриншоты и записывать звук. Так, на начальном этапе атаки код из вредоносного резюме запускает скрипт для извлечения дополнительных пейлоадов и сбора данных о компьютере жертвы (список установленных программ, имя компьютера, домена и так далее). Затем малварь пытается собрать сохраненные учетные данные из браузеров и почтовых клиентов, файлы cookie и данные кредитных карт. Украденные учетные данные архивируются и отправляются на управляющий сервер злоумышленников, а затем создается запланированное задание, а BAT-файл удаляет все следы атаки. Исследователи отмечают, что летом 2019 года атаки также имели вымогательский компонент: диски на локальных машинах шифровались с использованием открытого ключа GPG, теневые копии удалялись, а некоторые данные переправлялись на адрес zalock_

Теги: CSS

Просмотров: 482
Комментариев: 0:   25-03-2020, 00:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: