प्रो हैकिंग समूह 'एंड्रोमुट के साथ मैलवेयर के नए रूप की ओर इशारा करते हैं

सुरक्षा / प्रो हैकिंग समूह M एंड्रोमेट ’के साथ मालवेयर के नए रूप की ओर इशारा कर रहे हैं, वित्तीय सूचनाओं को लक्षित कर रहे हैं और इंजीनियरिंग इंजीनियरिंग का उपयोग करने वाले बैंक 4 मिनट पढ़ा

साइबर स्पेस चित्रण

फ़िशिंग को अंजाम देने के लिए परिष्कृत तकनीकों के साथ एक पेशेवर हैकिंग समूह और मैलवेयर हमलों के अन्य रूप अपनी दिशा बदल रहे हैं। मात्रा से अधिक गुणवत्ता को प्राथमिकता देने के स्पष्ट उद्देश्य के साथ, हैकर्स के कुख्यात TA505 समूह ने एंड्रोमुत नाम के दुर्भावनापूर्ण कोड के एक नए रूप का उपयोग कर पिवोट किया है। दिलचस्प है, मालवेयर एंड्रोमेडा से प्रेरित प्रतीत होता है। मूल रूप से एक अन्य हैकिंग समूह द्वारा डिजाइन किया गया, एंड्रोमेडा हाल ही में 2017 में दुनिया के सबसे बड़े मैलवेयर बॉटनेट्स में से एक था। एंड्रोमेडा कोड पर आधारित बोटनेट ने विंडोज ऑपरेटिंग सिस्टम चलाने वाले कई संदिग्ध और कमजोर पीसीओ पर सफलतापूर्वक अपने पेलोड डिलीवरी को अंजाम दिया। यह एंड्रोमेड बहुत हद तक इस एंड्रोमेडा कोड पर आधारित प्रतीत होता है जो हैकर समूहों के बीच संभावित सहयोग का संकेत देता है।

दुनिया के सबसे सफल साइबर क्रिमिनल समूहों में से एक, जो खुद को TA505 कहता है, अपनी रणनीति में बदलाव करता दिखाई देता है। वित्तीय जानकारी पर हमला करने और चोरी करने के नवीनतम दुर्भावनापूर्ण अभियान के हिस्से के रूप में, समूह मैलवेयर के एक नए रूप को वितरित करने में व्यस्त है। धुरी के हिस्से के रूप में, बड़ी संख्या में व्यक्तियों को लक्षित करने के बजाय, TA505 समूह बैंकों और अन्य वित्तीय सेवाओं के बाद जा रहा है। संयोग से, प्रवेश या उत्पत्ति का बिंदु समान रहता है, लेकिन संगठित वित्तीय क्षेत्र पर लक्षित लक्ष्य और फोकस दिखाई देते हैं। संयोग से, यूएस, संयुक्त अरब अमीरात और सिंगापुर में वित्तीय कंपनियों को उच्च अलर्ट पर रहने और किसी भी संदिग्ध सामग्री की तलाश करने की सलाह दी जाती है। हमले के कुछ सबसे सामान्य बिंदु आधिकारिक दिखने वाले ईमेल हैं।

TA505 समूह एंड्रोमेडा बेस का उपयोग एंड्रोएमटूट विकसित करने और तैनात करने के लिए करता है

प्रतीत होता है कि कुख्यात TA505 समूह ने पिछले महीने के दौरान अपनी तीव्रता में वृद्धि की है और उसी तेजी के साथ जारी रखा है। यह अब हमलों की यादृच्छिक तरंगों को तैनात करने का प्रयास नहीं कर रहा है जो पीड़ितों की मशीनों पर नियंत्रण पाने का प्रयास करता है। दूसरे शब्दों में, मास फ़िशिंग ईमेल अब पसंदीदा रणनीति नहीं हैं। इसके बजाय, TA505 समूह ने हमलों की मात्रा को काफी कम कर दिया है और स्पष्ट रूप से अधिक लक्षित हमलों पर स्विच कर दिया है।

जेल तोड़ना

से अच्छा लिख दिया @proofpoint
शोधकर्ताओं ने TA505 द्वारा दो अलग-अलग अभियानों पर चर्चा की जिसमें FlawedAmmyy डाउनलोड करने के लिए AndroMut का उपयोग किया गया। AndroMut C ++ में लिखा गया है और यह एक प्रकार का डाउनलोडर है।

ब्लॉग: https://t.co/vIDcrhKQ3z
बफर कोड
नमूने: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- inquest (@InQuest) 3 जुलाई, 2019

कई संदिग्ध ईमेल और इलेक्ट्रॉनिक संचार और मीडिया के अन्य रूपों, साइबर-सुरक्षा शोधकर्ताओं के विश्लेषण के आधार पर Proofpoint संकेत दिया है कि हैकर्स का समूह बैंकों और अन्य वित्तीय सेवा प्रदाताओं के कर्मचारियों को लक्षित करता हुआ प्रतीत होता है। शोधकर्ताओं ने परिष्कृत मैलवेयर के एक नए रूप के उपयोग को भी उजागर किया है। शोधकर्ता इसे एंड्रोमेट कह रहे हैं और पता चला है कि मैलवेयर में एंड्रोमेडा के साथ काफी समानताएं हैं। हैकर्स के एक पूरी तरह से अलग समूह द्वारा डिजाइन और तैनात किया गया है, एंड्रोमेडा सबसे सफलतापूर्वक निष्पादित, खतरनाक और दुनिया में मैलवेयर बॉटनेट के सबसे बड़े नेटवर्क में से एक रहा है। 2017 तक, एंड्रोमेडा व्यापक रूप से फैल रहा था, और सफलतापूर्वक विंडोज ऑपरेटिंग सिस्टम चलाने वाले कमजोर पीसी पर खुद को स्थापित कर रहा था।

TA505 समूह मैलवेयर हमले से कैसे बाहर निकल रहा है?

अन्य TA505 समूह के अधिकांश हमलों की तरह, नए AndroMut मैलवेयर को भी वैध दिखने वाले ईमेल के माध्यम से वितरित किया गया है। फ़िशिंग हमलों में ऐसे ईमेल शामिल होते हैं जो अत्यधिक आधिकारिक और प्रामाणिक दिखते हैं और महसूस करते हैं। इस तरह के ईमेल में आमतौर पर इनवॉइस और अन्य दस्तावेजों को शामिल करने का दावा किया जाता है जो बैंकिंग और वित्त से संबंधित होते हैं। फ़िशिंग में उपयोग किए जाने वाले ईमेल अक्सर श्रमसाध्य रूप से बनाए जाते हैं। हालाँकि कई ईमेल में लोकप्रिय PDF दस्तावेज़ होते हैं, TA505 समूह के फ़िशिंग ईमेल Word दस्तावेज़ों पर भरोसा करते हैं।

https://twitter.com/rsz619mania/status/1146387091598667777

लीग ऑफ लीजेंड्स अवास्ट प्रॉब्लम

एक बार जब असंतुष्ट पीड़ित लेज़्ड वर्ड दस्तावेज़ खोलता है, तो समूह हमले को जारी रखने के लिए सोशल इंजीनियरिंग पर निर्भर करता है। यह जटिल लग सकता है, लेकिन वास्तव में, यह हमला वर्ड डॉक्यूमेंट में ’मैक्रोज़’ की नहीं बल्कि प्राचीन पद्धति पर निर्भर करता है। लक्ष्य यह बताया जाता है कि जानकारी 'संरक्षित' है और उन्हें इसकी सामग्री देखने के लिए संपादन सक्षम करने की आवश्यकता है। ऐसा करने से मैक्रोज़ सक्षम हो जाते हैं और एंड्रोमैट को मशीन तक पहुंचाने की अनुमति मिलती है। यह मैलवेयर तब FlawedAmmyy को सावधानी से डाउनलोड करता है। एक बार दोनों स्थापित हो जाने के बाद, पीड़ितों की मशीनों से पूरी तरह से समझौता कर लिया जाता है।

एंड्रोमेट क्या है और मल्टी-स्टेज मैलवेयर कैसे काम करता है?

TA505 वर्तमान में दो-चरण के हमले में पहले चरण के रूप में एंड्रोमुत का उपयोग कर रहा है। दूसरे शब्दों में, AndroMut एक सफल संक्रमण और पीड़ितों के कंप्यूटर के नियंत्रण का पहला हिस्सा है। एक बार प्रवेश करने में सफल होने के बाद, एंड्रोमुट समझौता मशीन पर दूसरे पेलोड को सावधानीपूर्वक छोड़ने के लिए संक्रमण का उपयोग करता है। दुर्भावनापूर्ण कोड के दूसरे पेलोड को FlawedAmmyy कहा जाता है। मूलतः, FlawedAmmyy एक शक्तिशाली और कुशल रिमोट एक्सेस ट्रोजन या RAT है।

आक्रामक दूसरा चरण RAT FlawedAmmyy एक विरल मैलवेयर है जो पीड़ितों के कंप्यूटर तक दूरस्थ पहुँच प्रदान करता है। हमलावर दूरस्थ प्रशासनिक विशेषाधिकार प्राप्त कर सकते हैं। एक बार अंदर जाने के बाद, हमलावरों के पास फ़ाइलों, क्रेडेंशियल्स और बहुत कुछ तक पूरी पहुंच होती है।

नेटफ्लिक्स से कोई आवाज नहीं

संयोग से, डेटा, अपने आप में, लक्ष्य नहीं है। दूसरे शब्दों में, डेटा चोरी करना प्राथमिक उद्देश्य नहीं है। धुरी के भाग के रूप में, TA505 समूह जानकारी के बाद है जो उन्हें बैंकों और अन्य वित्तीय संस्थानों के आंतरिक नेटवर्क तक पहुंच प्रदान करता है।

TA505 ने AndroMut मैलवेयर लॉन्च किया https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 जुलाई, 2019

TA505 समूह पैसे के पीछे है, विशेषज्ञों का कहना है:

हैकिंग समूह की गतिविधियों के बारे में बोलते हुए, क्रिस डॉसन, खतरे की खुफिया सूचना पर Proofpoint उन्होंने कहा, “A505 को बैंकिंग ट्रोजन और रैंसमवेयर के साथ नियोजित करने से ज्यादा लक्षित अभियानों में RAT और डाउनलोडर्स को मुख्य रूप से वितरित करने का कदम उनकी रणनीति में एक मौलिक बदलाव का सुझाव देता है। अनिवार्य रूप से समूह लंबी अवधि के विमुद्रीकरण की क्षमता के साथ उच्च गुणवत्ता वाले संक्रमण के बाद जा रहा है - मात्रा पर गुणवत्ता। '

साइबर अपराधी अनिवार्य रूप से अपने हमलों को ठीक कर रहे हैं, और बड़े पैमाने पर ईमेल अभियान चलाने और पीड़ितों को छीनने की उम्मीद के बजाय अपने लक्ष्यों का चयन कर रहे हैं। वे पैसे चुराने के लिए डेटा, और अधिक महत्वपूर्ण, संवेदनशील जानकारी के बाद हैं। नवीनतम धुरी अनिवार्य रूप से बाजार और पैसे के बाद हैकर्स का एक उदाहरण है। इसलिए रणनीति में बदलाव को स्थायी नहीं माना जाना चाहिए, डावसन ने कहा, 'जो स्पष्ट नहीं है वह इस बदलाव का अंतिम परिणाम या एंडगेम है। A505 बहुत अधिक धन का अनुसरण करता है, वैश्विक रुझानों के अनुकूल है और अपने रिटर्न को अधिकतम करने के लिए नई भौगोलिक और पेलोड की खोज करता है। ”

टैग मैलवेयर