Tehdit organizasyonu TA505, siber saldırılar gerçekleştirmek için yasal uzaktan yönetim araçlarını kullanır
Güvenlik araştırmacıları, daha önce TA505'in Rusça konuşan üyelerden oluşan bir siber suç örgütü olduğunu keşfettiler. ABD, Şili, Hindistan, İtalya ve Malavi'yi hedeflemek için yasal bir uzaktan yönetim aracı olan "Uzaktan Manipülasyon Sistemi (RMS)" kullanıyorlar. Pakistan ve Güney Kore'deki büyük perakendeciler ve finans kuruluşları siber saldırılar düzenledi.
Tehdit Organizasyonu TA505
TA505, ilk olarak Proofpoint tarafından Eylül 2017'de seçildi ve ilgili faaliyetleri 2014 yılına kadar izlenebilir. Organizasyon esas olarak bankacılık ve finans kurumlarını büyük ölçekte kötü niyetli e-postalar göndererek hedef alıyor ve Dridex ve Locky gibi kötü niyetli örnekleri yaymasıyla ünlü. Yıllar geçtikçe, organizasyona karşı, örneğin Dridex ve Necurs gibi botnetlerin etkisini zayıflatmak için saldırıya uğrayarak birçok önlem alınmış olsa da, yalnızca geçici bir etkisi oldu.
İsrail merkezli siber güvenlik şirketi CyberInt'in araştırmacılarına göre TA505, 2014 yılından bu yana faaliyet gösteriyor, Dridex ve Shifu gibi güçlü bankacılık Truva atları dağıtıyor ve başarıyla doğrulanmış stratejileri, teknolojileri ve prosedürleri kullanıyor ( TTP), yüksek değerli hedeflere yönelik bu saldırılar, Rus forum tartışmasındaki diğer hackerlarla iletişim kurarak ve öğrenerek elde edilebilir.
Araştırmacılar, TA505 ve diğer siber suçlu grupların, kurbanın ağı içinde keşif ve yanal hareket yapmalarını sağlayan meşru uzaktan erişim araçlarını kullanarak değerli veriler içeren sistemlere erişmeye çalıştıklarına dikkat çekti.
Aynı zamanda kuruluş, çalışanları kötü amaçlı ekleri indirmeye teşvik etmek için kimlik avı e-postalarında hedef kuruluşla tutarlı logo, dil ve terminoloji kullanır ve makroları çalıştırmadan önce güvenlik denetimlerini devre dışı bırakmalarını önerir. Bu makrolar, kötü amaçlı yükleri TA505'in uzak C2 altyapısından (yasal alan adları olarak gizlenmiş) indirir.
Tespit edilmekten kaçınmak için yasal araçları kullanın
Çoğu durumda, başlangıçtaki kötü amaçlı yük, "Uzaktan Manipülasyon Sistemi (RMS)" adı verilen ve ayrıca kabuk komut dosyalarını (BAT) ve yapılandırma dosyalarını destekleyen yasal bir uzaktan erişim aracıdır. İndirildikten sonra, RMS yürütülebilir dosyası C2 altyapısına bağlanmaya çalışacaktır. Bağlantı başarıyla kurulduktan sonra, hedef cihazı kontrol etmek için ek yükler indirecektir.
CyberInt araştırmacılarına göre, bu yasal uzaktan erişim aracı geçen yıl Kasım ayında birkaç ABD perakendecisinin sistem ağlarına saldırmak için kullanıldı ve daha sonra Aralık 2018 ve Şubat 2019'da Şili, Hindistan ve Hindistan'ı hedeflemek için tekrar kullanıldı. İtalya, Malavi, Pakistan ve Güney Kore'deki finans kuruluşları. Çin, İngiltere, Fransa ve diğer ülkelerdeki bazı kuruluşlar da benzer saldırılar bildirdi.
Yürütülebilir RMS dosyası yasal olduğundan, kötü amaçlı yazılımdan koruma araçlarının çoğu onu algılamaz veya işaretlemez. Bu nedenle kuruluşlar, çalışanlarının TA505 gibi kimlik avı e-postalarını kendi başlarına tespit edebileceklerinden daha umutludur. Tehdit kuruluşları, sistemlerine kötü amaçlı yükler yükler.
Uzlaşma Göstergeleri (IoC'ler)
Yazar: Gump, http: //www.mottoin.com/detail/3918.html adresinden yeniden üretilmiştir.
