Специалисты компании Proofpoint подготовили отчет о новой активности хакерской группы TA505. Считается, что данная группировка существует как минимум с 2014 года и ее ассоциируют с такими масштабными вредоносными кампаниями, как распространение банкера Drirex и шифровальщика Locky, а также с вымогателями Philadelphia и GlobeImposter.
Эксперты рассказывают, что новая кампания TA505 началась в ноябре 2018 года и продолжилась в декабре: хакеры атаковали финансовые учреждения и ритейл в разных странах мира, используя фишинговые письма с вложенными файлами Microsoft Word, Microsoft Publisher, PDF. Исследователи установили, что инфраструктура, которую злоумышленники на этот раз использовали для атак, не имеет отношения к ботнету Necurs, как ранее. Более того, похоже, что теперь группировка решила сконцентрироваться на троянах удаленного доступа, оставив шифровальщики в прошлом.
Вложенные в письма вредоносные файлы приводили к загрузке написанного на Delphi бэкдора ServHelper, предназначенного для Windows-машин. К примеру, ServHelper служит для создания SSH-тоннелей и обеспечивает доступ к RDP-порту 3389. Впрочем, другие обнаруженные вариации ServHelper не имели такой функциональности и служили лишь загрузчиками для RAT FlawedGrace, написанного на C++. Эксперты отмечают, что злоумышленники активно обновляют и развивают свой бэкдор, добавляя новые функции и команды. Из-за этого практически во всех кампаниях использовались немного разные вариации ServHelper.
Для защиты своих управляющих серверов группировка использует приватные домены (в частности, dedsolutions[.]bit и arepos[.]bit) в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, в основе которой лежит технология блокчейн.
Стоит сказать, что специалисты Proofpoint не первые, кто обнаружил вредоноса FlawedGrace. Впервые троян был замечен еще в 2017 году, ИБ-эксперты наблюдали несколько разных версий малвари, однако до недавнего времени RAT оставался практически неактивным, а теперь был значительно переработан.
