Компания Prevailion предупредила, что русскоязычная хак-группа TA505 (она же Evil Corp) стала активно использовать легитимные инструменты (в дополнение к малвари) для атак на немецкие компании. Напомню, что эту группировка в первую очередь известна благодаря использованию трояна Dridex и вымогателя Locky, но также применяет множество других вредоносных программ, включая BackNet, Cobalt Strike, ServHelper, Bart, FlawedAmmyy, SDBbot RAT, DoppelPaymer и так далее.

Исследователи из Prevailion обнаружили, что с лета 2019 года TA505 проводит кампанию, ориентированную на немецкие фирмы. Хакеры рассылают своим целям письма с фальшивыми резюме для приема на работу. В этих письмах содержится вредоносное вложение, предназначенное для кражи учетных данных и данных кредитных карт.

Но если в 2019 году злоумышленники использовали для шифрования файлов потерпевших доступный на рынке вымогатель, то в более недавних операциях они перешли на коммерческий инструмент для удаленного администрирования NetSupport, размещенный в Google Drive.

Эксперты предупреждают, что посредством использования таких легитимных инструментов, которые вряд ли получится обнаружить традиционным защитными решениями, злоумышленники могут выполнять широкий спектр действий, в том числе похищать файлы, делать скриншоты и записывать звук.

Так, на начальном этапе атаки код из вредоносного резюме запускает скрипт для извлечения дополнительных пейлоадов и сбора данных о компьютере жертвы (список установленных программ, имя компьютера, домена и так далее). Затем малварь пытается собрать сохраненные учетные данные из браузеров и почтовых клиентов, файлы cookie и данные кредитных карт.

Украденные учетные данные архивируются и отправляются на управляющий сервер злоумышленников, а затем создается запланированное задание, а BAT-файл удаляет все следы атаки.

Исследователи отмечают, что летом 2019 года атаки также имели вымогательский компонент: диски на локальных машинах шифровались с использованием открытого ключа GPG, теневые копии удалялись, а некоторые данные переправлялись на адрес zalock[@]airmail.cc.

Для новых же атак используется загрузчик (по-видимому, rekt), который был разработан для связи с Google Drive и загрузки дополнительных файлов. Пейлоад второго этапа атаки был идентифицирован как коммерческое приложение NetSupport для удаленной работы.

Некоторые из обнаруженных вариантов rekt датированы апрелем 2019 года. Также исследователи выявили образцы, подписанные цифровой подписью, которая использовалась и для подписи двух троянов FlawwedAmmy. Их тоже ранее связывали с TA505, так что исследователи уверенно заявляют, что за обнаруженными атаками стоит именно названная хак-группа.

Оставить мнение