Les chercheurs en sécurité avaient déjà constaté que TA505 est membre du réseau russe d'organisations criminelles, ils utilisent un outil d'administration à distance légitime - « télémanipulateur (RMS) », contre les Etats-Unis, le Chili, l'Inde, l'Italie, le Malawi le Pakistan et les principaux détaillants de la Corée du Sud et les institutions financières pour mener à bien les cyber-attaques.
Organisation menace TA505
TA505 nommé par Proofpoint a organisé pour la première fois en Septembre 2017, et ses activités connexes remontent à 2014. L'organisation a porté sur les institutions bancaires et financières, par le biais de grande échelle l'envoi d'attaques par courrier électronique malveillants, et de diffuser Dridex, Locky et d'autres échantillons malveillants notoire. Au fil des ans, même si l'organisation a été prise à l'encontre d'un certain nombre d'actions, de nature à affaiblir son influence en frappant Dridex et Necurs tels que les réseaux de zombies, mais n'a joué qu'un effet temporaire.
Selon les chercheurs, basés dans la société de sécurité réseau israélien CyberInt disant TA505 depuis 2014 a été actif, distribuer chevaux de Troie bancaires puissants, comme Dridex et Shifu, et a été utilisé après des stratégies d'authentification avec succès, techniques et procédures ( TTP), ces attaques contre des cibles de grande valeur peut être obtenue par l'échange avec d'autres pirates dans les discussions du forum et l'apprentissage du russe.
Les chercheurs ont noté, TA505 et d'autres groupes de lutte contre la cybercriminalité ont tenté d'accéder au système contient des données précieuses en utilisant des outils d'accès à distance légitimes qui leur permettent d'effectuer la reconnaissance et le déplacement latéral au sein du réseau de la victime.
En même temps, l'organisation phishing également un message électronique compatible avec l'identité tissu cible, la langue et la terminologie aux employés de télécharger des pièces jointes Entice malveillants, et leur a conseillé de désactiver le contrôle de sécurité avant d'exécuter la macro. Ces macros d'un TA505 d'infrastructure à distance de C2 (déguisé en nom de domaine légitime) à télécharger charge utile malveillante.
En utilisant les outils juridiques pour échapper à la détection
outil légitime d'accès à distance, dans de nombreux cas, la charge utile malveillante initiale est appelé « système de manipulation à distance (RMS) », ainsi que le support pour les scripts shell (BAT) et les fichiers de configuration. Après le téléchargement, le fichier exécutable RMS tente de se connecter avec leur infrastructure C2, après une connexion réussie est établie, il sera encore télécharge la charge utile supplémentaire pour commander le dispositif cible.
Selon les chercheurs CyberInt disent, les outils légitimes d'accès à distance Novembre dernier a été utilisé pour attaquer le système de réseau de plusieurs détaillants aux États-Unis, puis utilisé à nouveau au cours de Décembre 2018 et Février 2019 contre le Chili, l'Inde, Italie, le Malawi, le Pakistan et les institutions financières de la Corée du Sud. Certaines organisations de la Chine, la Grande-Bretagne, la France et d'autres pays ont également déclaré avoir reçu une attaque similaire.
Parce que le fichier exécutable RMS est légitime, de sorte que la grande majorité des outils anti-malware ne détecte pas ou marquer, par conséquent, les organisations espèrent que plus d'employés peuvent se auto distinguons phishing e-mail, par exemple pour empêcher la TA505 la menace de la charge utile malveillante organisée chargée dans leur système.
Indice de compromis (IOC)
Auteur: Gump, reproduit à partir de: http: //www.mottoin.com/detail/3918.html
