Следующая новость
Предыдущая новость

Группировка TA505 использует бэкдор ServHelper для атак на банки и ритейл

11.01.2019 23:52
Группировка TA505 использует бэкдор ServHelper для атак на банки и ритейл

Рекомендуем почитать:

Xakep #237. Даркнет 2018

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании Proofpoint подготовили отчет о новой активности хакерской группы TA505. Считается, что данная группировка существует как минимум с 2014 года и ее ассоциируют с такими масштабными вредоносными кампаниями, как распространение банкера Drirex и шифровальщика Locky, а также с вымогателями Philadelphia и GlobeImposter.

Эксперты рассказывают, что новая кампания TA505 началась в ноябре 2018 года и продолжилась в декабре: хакеры атаковали финансовые учреждения и ритейл в разных странах мира, используя фишинговые письма с вложенными файлами Microsoft Word, Microsoft Publisher, PDF. Исследователи установили, что инфраструктура, которую злоумышленники на этот раз использовали для атак, не имеет отношения к ботнету Necurs, как ранее. Более того, похоже, что теперь группировка решила сконцентрироваться на троянах удаленного доступа, оставив шифровальщики в прошлом.

Группировка TA505 использует бэкдор ServHelper для атак на банки и ритейл
Фишинговое послание

Вложенные в письма вредоносные файлы приводили к загрузке написанного на Delphi бэкдора ServHelper, предназначенного для Windows-машин. К примеру, ServHelper служит для создания SSH-тоннелей и обеспечивает доступ к RDP-порту 3389. Впрочем, другие обнаруженные вариации ServHelper не имели такой функциональности и служили лишь загрузчиками для RAT FlawedGrace, написанного на C++. Эксперты отмечают, что злоумышленники активно обновляют и развивают свой бэкдор, добавляя новые функции и команды. Из-за этого практически во всех кампаниях использовались немного разные вариации ServHelper.

Группировка TA505 использует бэкдор ServHelper для атак на банки и ритейл

Для защиты своих управляющих серверов группировка использует приватные домены (в частности, dedsolutions[.]bit и arepos[.]bit) в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, в основе которой лежит технология блокчейн.

Стоит сказать, что специалисты Proofpoint не первые, кто обнаружил вредоноса FlawedGrace. Впервые троян был замечен еще в 2017 году, ИБ-эксперты наблюдали несколько разных версий малвари, однако до недавнего времени RAT оставался практически неактивным, а теперь был значительно переработан.

Источник

Последние новости