TA505 se dirige a los departamentos de recursos humanos con CV envenenados



La infame organización del delito cibernético detectada en ataques que emplean software program legítimo, y Google Travel.

Una campaña de ataque recientemente descubierta por la notoriamente prolífica organización de ciberdelincuencia TA505 ahora apunta a las empresas en Alemania a través de sus ejecutivos de recursos humanos.

Los investigadores de Prevailion, una firma de monitoreo de seguridad, detallaron hoy la última campaña del grupo de ciberdelincuencia, un correo electrónico de phishing de estilo empresarial de compromiso con archivos de curriculum vitae troyanizados. Una vez que el archivo manipulado está abierto, los atacantes implementan herramientas comerciales para enmascarar sus movimientos, incluido el application de administración de manage remoto NetSupport Manager para la recopilación de información y el robo de datos, Google Travel para alojar sus herramientas de piratería y la herramienta de cifrado GPG como arma de ransomware . Según Prevailion, la campaña de ataque ha estado operando desde al menos abril de 2018.

Los atacantes usan scripts maliciosos de PowerShell que roban las credenciales de inicio de sesión de los navegadores y Outlook y obtienen datos de la tarjeta de pago. En una ola de ataques, el TA505 usó GPG para encriptar los archivos de la víctima y mantenerlos como rescate. En una segunda ola de ataques, el grupo elevó un poco el listón, usando NetSupport para robar archivos, capturas de pantalla y grabaciones de voz, ocultando el troyano de acceso remoto a la vista en una cuenta de Google Push operada por el atacante.

TA505 también es conocido por su uso de Necurs, una especie de botnet de botnets, de los cuales cuatro fueron responsables del 95% de todas las infecciones de malware, según BitSight, que ayudó a Microsoft en su operación del 5 de marzo de 2020 para descarrilar la botnet. hundiendo los dominios de Necurs en los Estados Unidos. Si bien esa operación de interrupción fue significativa, Necurs había estado relativamente tranquilo a partir de marzo de 2019, pero aún dejaba listos a unos 2 millones de máquinas infectadas y podían ser llamadas nuevamente al servicio.

Pero la reciente campaña de ataque de TA505 no depende de ningún componente de infraestructura de Necurs. «Según lo que hemos visto en Necurs … no hay superposición de C2 (comando y command). Por lo tanto, podría eliminar completamente a Necurs, y esto sería completamente» independiente de eso «, dice Danny Adamitis, director de análisis de inteligencia. para Prevailion.

Adamitis dice que este conjunto de ataques probablemente ocurrió en febrero o marzo, y los enlaces de Google Push todavía estaban activos a partir de la semana pasada. «Fue muy específico y dirigió este correo electrónico al director de recursos humanos de esta organización en distinct», dice. «Buscaban las credenciales de Chrome, Firefox, Edge y Outlook» y la información de la tarjeta de crédito almacenada en el navegador Chrome en un solo ataque, dice. «Eso también sirve como un vector de ataque donde podrían usar o vender (esos datos)».

Prevailion no reveló las organizaciones de víctimas atacadas, pero los investigadores inicialmente marcaron la campaña después de una publicación en el foro en línea realizada por alguien de una organización que informaba de un ataque de ransomware que parecía estar relacionado con TA505.

Al igual que el equipo de investigación de cualquier empresa de seguridad, Prevailion tiene una visión específica del ataque a través del punto de vista de sus propias herramientas. La plataforma de Prevailion rastrea el tráfico basado en la red y también proporciona una vista de los archivos binarios y C2, señala Adamitis. «No tenemos una herramienta o capacidad de punto remaining, por lo que no tenemos el mismo nivel de conocimiento para ver cómo se descarga (un) archivo», explica, por ejemplo. Pero él y su equipo pueden ver cosas como «una dirección IP codificada que aloja el archivo .rar del CV, con un script que roba credenciales y aloja ese ejecutable», dice.

Este no es el primer rodeo de TA505 que abusa de las herramientas legítimas: en 2018, se dirigió a minoristas y organizaciones con sede en los EE. UU. En la industria de alimentos y bebidas utilizando un correo electrónico de spearphishing en un documento infectado de Term. Cuando la víctima lo abrió, el archivo los instó a descargar una copia del Sistema de manipulador remoto (RMS) del proveedor de software package ruso TektonIT.

G Generate
Los atacantes también han estado alojando sus herramientas en una cuenta de Google Push para tomar NetSupport para robar archivos, tomar capturas de pantalla y encender de forma remota el micrófono de la máquina infectada para escuchar.

La pista que conectó los ataques a TA505: una firma electronic asociada con el cargador utilizado por los atacantes en la campaña alemana. Pudieron correlacionar una de las muestras con la de un informe anterior del CERT de Corea del Sur, así como investigación previa realizada por Palo Alto Networks en la herramienta NetSupport.

«Los hemos visto adoptar un enfoque más sofisticado (ahora), con un nuevo cargador que no se ve en ningún otro lugar» y alojar sus herramientas en Google Drive, dice Adamitis. «Si un defensor de la red ve … Google Drive (actividad), es más probable que los» supere «y no sea marcado como sospechoso, dice.

Investigadores en FireEye y Zscaler También se han informado previamente casos de uso malicioso de NetSupport Manager.

Los atacantes todavía estaban activos la semana pasada, dice Adamitis, y aún estaban sirviendo la herramienta NetSupport.

Al igual que las pandillas de ciberdelincuencia más avanzadas, M.O. de TA505. tiene similitudes con las de los grupos de estados nacionales. «No están categorizados como APT (amenaza persistente avanzada) pero … parece haber una polinización cruzada única en algunos de los TTP (tácticas, técnicas y procedimientos)», dice Karim Hijazi, fundador y CEO de Prevailion. .

La mejor apuesta para frustrar esta última campaña o ataques similares es implementar una solución de seguridad de correo electrónico, mantener actualizado el antimalware, requerir contraseñas seguras y segmentar la crimson para que los atacantes no puedan moverse fácilmente lateralmente, los investigadores recomiendan.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Darkish Looking at para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Lecciones de seguridad que hemos aprendido (hasta ahora) de COVID-19».

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Looking at. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Safe Company … Ver biografía completa

Más thoughts





Enlace a la noticia authentic