Eksperter i Proofpoint selskapet funnet at russisk-talende hack gruppe TA505 over til å bruke den nye laste, AndroMut.
Jegt er antatt at denne grupperingen eksistert siden minst 2014 og er assosiert med slike store ondsinnede kampanjer som fordelingen av Drirex Og Shifu bankfolk, pane kodeknekkeren, så vel som extortionists Philadelphia Og GlobeImposter, ServHelper bakdører og FlawedAmmyy.Nå eksperter merke at i juni 2019, hackere begynte å bruke den nye AndroMut bootloader skrevet i C ++ for å distribuere RAT FlawedAmmyy.
“Proofpoint forskning oppdaget AndroMut laste ned malware som omtales som “FlawedAmmyy.” FlawedAmmyy er en fullverdig RAT som først ble observert tidlig 2016 og er basert på lekket kildekoden til et legitimt shareware verktøy, Ammyy”, - sa forskere.
Samtidig, Forskerne oppdaget at den nye lasteren ganske mye ligner den berømte Andromeda malware familie, som i 2017 dannet en av de største botnett i verden.
Proofpoint analytikere antyder at TA505 medlemmer kan bruke lekket Andromeda kildekoder, eller en av skaperne av botnet samarbeider med grupperingen.
Bruk av AndroMut ble spilt inn i to ulike kampanjer: den første rørte brukere fra Sør-Korea, den andre er rettet mot finansinstitusjoner i Singapore, De forente arabiske emirater og USA. AndroMut anvendes som det første trinn av angrepet: angriperne spre fiske e-post med skadelig vedlegg HTM og HTML. De, igjen, føre til Word eller Excel-filer som inneholder skadelige makroer. Etter å ha åpnet en slik fil, AndroMut og deretter FlawedAmmyy trenge gjennom offerets maskin.
Forskere oppmerksom på at AndroMut bruker flere metoder for beskyttelse mot analyse. Så, malware sjekker om det er i sandkassen, undersøker prosessnavn, betaler oppmerksomhet til bevegelsene til musepekeren, søker etter Wine emulator og debuggere, og også slettes minnet etter bruk viktig data.
“I løpet av de siste to årene, Proofpoint forskere observert TA505 og en rekke andre aktører fokusert på nedlastere, rotter, informasjons stealers, og banktjenester trojanere. Med denne nye juni 2019 trykk, kommersielle bank vertikaler i USA, UAE, og Singapore ser ut til å være den primære mål som en del av TA505 sedvanlige “følge pengene” atferdsmønster. Den nye AndroMut overførte, når kombinert med FlawedAmmy RAT som dens nyttelast synes å være TA505 nye kjæledyr for sommeren 2019”, - rapport Proofpoint spesialister.
Dess, Trend Micro eksperter publisert en rapport om de nyeste TA505 kampanjer denne uken. Forskere ikke bare betalt oppmerksomhet til den nye grupperingen loader (trend Micro analytikere ga ham navnet Gelup), men også beskrevet et annet nytt verktøy i hacker arsenal, FlowerPippi malware.
Les også: Den nye versjonen av Dridex bankmann slipping fra antiviruses
FlowerPippi har også laster og bakdør evner, Så, den kan brukes til å levere ytterligere skadelig til en infisert maskin. Ifølge Trend Micro, Dette bakdør blir også brukt til å samle inn og stjele informasjon, og å utføre vilkårlige kommandoer som den mottar fra styringsserveren. Alle tekniske detaljer om FlowerPippi kan finnes i en egen sakkyndig rapport.
