Experts van de Proofpoint bedrijf vond dat de Russisch-sprekende hack groep TA505 overgestapt op het gebruik van de nieuwe loader, AndroMut.
ikt is van mening dat deze groepering bestaan op zijn minst sinds 2014 en wordt geassocieerd met dergelijke grootschalige kwaadaardige acties de verdeling van Drirex En Shifu bankiers, Locky cryptograaf, evenals de extortionists Philadelphia En GlobeImposter, ServHelper backdoors en FlawedAmmyy.Nu experts merkte dat in juni 2019, hackers begon de nieuwe AndroMut bootloader geschreven in C ++ gebruiken om RAT FlawedAmmyy distribueren.
“Proofpoint onderzoek ontdekte AndroMut downloaden malware die wordt aangeduid als “FlawedAmmyy.” FlawedAmmyy is een full-featured RAT die voor het eerst werd waargenomen in het begin van 2016 en is gebaseerd op de uitgelekte broncode van een legitieme shareware gereedschap, Ammyy”, - zei onderzoekers.
Tegelijkertijd, onderzoekers ontdekten dat de nieuwe lader vrij veel lijkt op de beroemde Andromeda malware familie, die in 2017 vormden een van de grootste botnets ter wereld.
Proofpoint analisten suggereren dat TA505 leden kunnen gebruik maken van gelekte Andromeda broncodes, of één van de makers van de botnet werkt samen met de groepering.
Toepassing van AndroMut werd opgenomen in twee verschillende campagnes: de eerste raakte gebruikers uit Zuid-Korea, de tweede is gericht op financiële instellingen in Singapore, de Verenigde Arabische Emiraten en de Verenigde Staten. AndroMut wordt toegepast als eerste stap van de aanval: de aanvallers verspreid vissen e-mails met kwaadaardige attachments HTM en HTML. Die, op zijn beurt, leiden tot een Word- of Excel-bestanden met kwaadaardige macro's. Na zo'n bestand openen, AndroMut en vervolgens FlawedAmmyy machine van het slachtoffer binnen te dringen.
Onderzoekers constateren dat AndroMut maakt gebruik van verschillende methoden van bescherming tegen analyse. Zo, de malware controleert of het in de zandbak, onderzoekt het proces namen, besteedt aandacht aan de bewegingen van de muiscursor, zoekt naar de Wine emulator en debuggers, en wist ook het geheugen na het gebruik van belangrijke data.
“In de afgelopen twee jaar, Proofpoint onderzoekers waargenomen TA505 en een aantal andere spelers gericht op downloaders, RAT, informatie dieven, en banking Trojans. Met deze nieuwe juni 2019 Duwen, commercial banking verticals in de Verenigde Staten, VAE, en Singapore lijken de voornaamste doelwitten als onderdeel van de gebruikelijke “follow the money” gedragspatroon TA505's zijn. De nieuwe AndroMut downloader, in combinatie met de FlawedAmmy RAT als zijn lading lijkt te zijn nieuw huisdier TA505's voor de zomer van 2019”, - verslag Proofpoint specialisten.
Daarnaast, Trend Micro deskundigen een rapport gepubliceerd over de laatste TA505 campagnes deze week. Onderzoekers die niet alleen aandacht besteed aan de nieuwe groepering loader (trend Micro analisten gaf hem de naam Gelup), maar ook beschreven een nieuwe tool in het arsenaal van de hacker, FlowerPippi malware.
Lees ook: De nieuwe versie van de Dridex bankier glijdt uit antiviruses
FlowerPippi heeft ook loader en backdoor-mogelijkheden, Zo, het kan worden gebruikt om extra malware te leveren aan een besmette machine. Volgens Trend Micro, Deze backdoor wordt ook gebruikt voor het verzamelen en informatie stelen, en om willekeurige commando's uit te voeren die het ontvangt van de beheerserver. Alle technische details over FlowerPippi zijn te vinden in een afzonderlijk rapport van deskundigen.
