プロのハッキンググループは、ソーシャルエンジニアリングを使用して金融情報や銀行を標的とし、「AndroMut」を使用して新しい形式のマルウェアにピボットしています

サイバーセキュリティの図

フィッシングやその他の形式のマルウェア攻撃を実行するための高度な技術を備えたプロのハッキンググループが、その方向性を変えているようです。量より質を優先するという明確な目的で、悪名高いTA505グループのハッカーは、AndroMutという名前の新しい形式の悪意のあるコードを使用してピボットしました。興味深いことに、このマルウェアはアンドロメダに触発されているようです。アンドロメダは元々別のハッキンググループによって設計されたもので、2017年には世界最大のマルウェアボットネットの1つでした。アンドロメダコードに基づくボットネットは、Windowsオペレーティングシステムを実行している疑わしい脆弱なPCでペイロード配信を正常に実行しました。 AndroMutは、ハッカーグループ間のコラボレーションの可能性を示すこのアンドロメダコードに主に基づいているようです。

TA505と名乗る世界で最も成功したサイバー犯罪グループの1つは、その戦術を変えたようです。財務情報を攻撃して盗むという最新の悪意のあるキャンペーンの一環として、このグループは新しい形式のマルウェアの配布に忙しくしています。 TA505グループは、ピボットの一環として、多数の個人をターゲットにするのではなく、銀行やその他の金融サービスを追いかけているようです。ちなみに、エントリーポイントやオリジンは同じままですが、意図されたターゲットと焦点は組織化された金融セクターにあるようです。ちなみに、米国、アラブ首長国連邦、シンガポールの金融会社は、警戒を怠らず、疑わしいコンテンツを探すことをお勧めします。攻撃の最も一般的なポイントのいくつかは、公式に見える電子メールのままです。

TA505グループはAndromedaBaseを使用してAndroMutを開発および展開します

悪名高いTA505グループは、先月中にその強度を高めたようであり、同じ猛烈さを続けています。被害者のマシンを制御しようとする攻撃のランダムな波を展開しようとはしなくなりました。言い換えれば、大量のフィッシングメールはもはや好ましい戦術ではありません。代わりに、TA505グループは攻撃の量を大幅に減らし、より標的を絞った攻撃に明確に切り替えました。

からの素敵な記事 @proofpoint
AndroMutを使用してFlawedAmmyyをダウンロードしたTA505による2つの異なるキャンペーンについて議論している研究者。 AndroMutはC ++で記述されており、ダウンローダーの一種です。

ブログ： https://t.co/vIDcrhKQ3z

サンプル： https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0

— InQuest（@InQuest） 2019年7月3日

いくつかの疑わしい電子メールおよび他の形式の電子通信およびメディアの分析に基づいて、サイバーセキュリティ研究者は Proofpoint ハッカーのグループが銀行や他の金融サービスプロバイダーの従業員を標的にしているように見えることを示しています。研究者たちはまた、新しい形の洗練されたマルウェアの使用法を発見しました。研究者たちはそれをアンドロメダと呼んでおり、マルウェアがアンドロメダとかなりの類似点を持っていることを発見しました。アンドロメダは、まったく異なるハッカーのグループによって設計および展開されており、最も成功裏に実行され、危険であり、世界最大のマルウェアボットネットネットワークの1つです。 2017年まで、アンドロメダは繁栄し、Windowsオペレーティングシステムを実行している脆弱なPCに正常にインストールされていました。

TA505グループはマルウェア攻撃をどのように実行していますか？

他のほとんどのTA505グループの攻撃と同様に、新しいAndroMutマルウェアも正当な電子メールを介して配布されます。フィッシング攻撃には、非常に公式で本物のように見える電子メールが含まれます。このような電子メールには通常、銀行や金融に関連することを目的とした請求書やその他の文書が含まれていると主張しています。フィッシングで使用される電子メールは、多くの場合、入念に作成されます。いくつかの電子メールには人気のあるPDFドキュメントが含まれていますが、TA505グループのフィッシングメールはWordドキュメントに依存しているようです。

https://twitter.com/rsz619mania/status/1146387091598667777

疑いを持たない被害者がひもで締められたWord文書を開くと、グループはソーシャルエンジニアリングに依存して攻撃を続けます。これは複雑に聞こえるかもしれませんが、実際には、攻撃はWord文書の「マクロ」のかなり古い方法に依存しています。ターゲットには、情報が「保護」されていることが通知され、その内容を表示するには編集を有効にする必要があります。そうすることで、マクロが有効になり、AndroMutをマシンに配信できるようになります。次に、このマルウェアは慎重にFlawedAmmyyをダウンロードします。両方がインストールされると、被害者のマシンは完全に危険にさらされます。

AndroMutとは何ですか？マルチステージマルウェアはどのように機能しますか？

TA505は現在、2段階攻撃の最初の段階としてAndroMutを使用しています。言い換えれば、AndroMutは、被害者のコンピューターの感染と制御の成功の最初の部分です。侵入に成功すると、AndroMutは感染を使用して、侵入先のマシンに2番目のペイロードを慎重にドロップします。悪意のあるコードの2番目のペイロードはFlawedAmmyyと呼ばれます。基本的に、FlawedAmmyyは強力で効率的なリモートアクセス型トロイの木馬またはRATです。

攻撃的な第2段階のRATFlawedAmmyyは、被害者のコンピューターへのリモートアクセスを許可する強力なマルウェアです。攻撃者はリモート管理者権限を取得できます。内部に入ると、攻撃者はファイルや資格情報などに完全にアクセスできます。

ちなみに、データ自体は対象ではありません。言い換えれば、データを盗むことは主な意図ではありません。ピボットの一環として、TA505グループは、銀行やその他の金融機関の内部ネットワークへのアクセスを許可する情報を求めています。

TA505がAndroMutマルウェアを起動 https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

— C_138（@ C_138） 2019年7月3日

TA505グループはお金を追いかけている、と専門家は言います：

ハッキンググループの活動について話すと、脅威インテリジェンスのリーダーであるクリスドーソンは Proofpoint 「A505は、以前に銀行のトロイの木馬やランサムウェアで採用していたよりもはるかにターゲットを絞ったキャンペーンでRATとダウンローダーを主に配布するようになり、戦術が根本的に変化したことを示唆しています。基本的に、このグループは、より長期的な収益化の可能性を秘めた、より質の高い感染を追求しています。量より質です。」

サイバー犯罪者は基本的に攻撃を微調整しており、大規模な電子メールキャンペーンを実施して被害者を捕まえることを望んでいるのではなく、標的を選択しています。彼らはデータ、そしてもっと重要なことに機密情報を求めてお金を盗みます。最新のピボットは、本質的には市場とお金を追いかけるハッカーの一例にすぎません。したがって、戦略の転換は永続的なものと見なされるべきではない、とドーソン氏は述べています。「明確ではないのは、この転換の最終的な結果または終盤です。 A505は資金を非常にフォローし、世界的なトレンドに適応し、新しい地域とペイロードを探索して収益を最大化します。」