TA505 Tin tặc sử dụng Bảng điều khiển TeslaGun để quản lý các cuộc tấn công cửa hậu ServHelper

TA505 Tin tặc

Các nhà nghiên cứu an ninh mạng đã cung cấp thông tin chi tiết về một bảng điều khiển phần mềm không có giấy tờ trước đây được sử dụng bởi một nhóm đe dọa có động cơ tài chính được gọi là TA505.

“Nhóm này thường xuyên thay đổi các chiến lược tấn công để đáp ứng với xu hướng tội phạm mạng toàn cầu”, công ty an ninh mạng Thụy Sĩ cho biết trong một báo cáo được chia sẻ với The Hacker News. “Nó áp dụng một cách cơ hội các công nghệ mới để đạt được đòn bẩy đối với các nạn nhân trước khi ngành công nghiệp an ninh mạng rộng lớn hơn bắt đầu.”

Cũng được theo dõi dưới tên Evil Corp, Gold Drake, Dudear, Indrik Spider và SectorJ04, TA505 là một tổ chức tội phạm mạng hung hãn của Nga đứng sau trojan ngân hàng Dridex khét tiếng và có liên quan đến một số chiến dịch ransomware trong những năm gần đây.

Nó cũng được cho là có liên quan đến các cuộc tấn công Raspberry Robin xuất hiện vào tháng 9 năm 2021, với những điểm tương đồng được phát hiện giữa phần mềm độc hại và Dridex.

TA505 Tin tặc

Các họ phần mềm độc hại đáng chú ý khác có liên quan đến nhóm bao gồm FlawedAmmyy, mạng botnet Neutrino và một cửa sau có tên mã ServHelper, một biến thể có khả năng tải xuống một trojan truy cập từ xa có tên FlawedGrace.

Xem tiếp:   Hiểu cách tin tặc xâm nhập

Bảng điều khiển, được gọi là TeslaGun, được cho là được đối thủ sử dụng để quản lý bộ cấy ServHelper, hoạt động như một khung lệnh và điều khiển (C2) để điều khiển các máy bị xâm nhập.

Ngoài ra, bảng điều khiển cung cấp khả năng cho những kẻ tấn công ra lệnh, chưa kể đến việc gửi một lệnh duy nhất đến tất cả các thiết bị nạn nhân đang di chuyển hoặc định cấu hình bảng điều khiển sao cho một lệnh được xác định trước sẽ tự động chạy khi nạn nhân mới được thêm vào bảng điều khiển.

TA505 Tin tặc

Các nhà nghiên cứu cho biết: “Bảng điều khiển TeslaGun có thiết kế thực dụng, tối giản. Bảng điều khiển chính chỉ chứa dữ liệu nạn nhân bị nhiễm, phần nhận xét chung cho từng nạn nhân và một số tùy chọn để lọc hồ sơ nạn nhân”.

Ngoài việc sử dụng bảng điều khiển, các tác nhân đe dọa cũng được biết là sử dụng công cụ giao thức máy tính từ xa (RDP) để kết nối thủ công với các hệ thống được nhắm mục tiêu thông qua các đường hầm RDP.

Phân tích của PRODAFT về dữ liệu nạn nhân của TeslaGun cho thấy rằng các chiến dịch lừa đảo và nhắm mục tiêu của nhóm này đã đạt được ít nhất 8.160 mục tiêu kể từ tháng 7 năm 2020. Phần lớn nạn nhân là ở Mỹ (3.667), tiếp theo là Nga (647), Brazil (483), Romania (444) và Vương quốc Anh (359).

Xem tiếp:   Bằng chứng mới liên kết Phần mềm độc hại Raspberry Robin với Dridex và các hacker Russian Evil Corp

Các nhà nghiên cứu lưu ý: “Rõ ràng TA505 đang tích cực tìm kiếm người dùng ngân hàng hoặc bán lẻ trực tuyến, bao gồm ví và tài khoản thương mại điện tử”, các nhà nghiên cứu lưu ý, trích dẫn nhận xét của nhóm đối thủ trong bảng TeslaGun.

TA505 Tin tặc

Phát hiện cũng được đưa ra khi Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) cảnh báo về các mối đe dọa đáng kể do nhóm này gây ra cho ngành y tế thông qua các cuộc tấn công xâm nhập dữ liệu nhằm đánh cắp tài sản trí tuệ và hoạt động của ransomware.

“Evil Corp có một loạt các công cụ có khả năng cao để họ sử dụng”, Trung tâm Điều phối An ninh Mạng Khu vực Y tế (HC3) của cơ quan này cho biết trong một lời khuyên được công bố vào cuối tháng trước.

“Những thứ này được phát triển và duy trì trong nhà, nhưng thường được sử dụng cùng với phần mềm độc hại hàng hóa, các kỹ thuật truyền thống và các công cụ bảo mật phổ biến được thiết kế để đánh giá bảo mật hợp pháp và hợp pháp.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …