Investigadores de seguridad cibernética completaron el martes un ataque masivo de correo electrónico organizado por una prolífica pandilla de delitos cibernéticos que afecta a una amplia gama de industrias, con una de sus operaciones regionales dirigidas a Alemania y Austria en particular.
La firma de seguridad empresarial Proofpoint ha combinado una campaña de malware altamente confiable con TA505, un nombre dado a un grupo de amenazas motivado financieramente que ha estado activo en el negocio del cibercrimen desde al menos 2014 y está detrás del infame troyano bancario Dridex y un arsenal de otras herramientas maliciosas. como otros FlawedAmmyy, FlawedGrace, botnet Neutrino y Locky ransomware.
La empresa de ciberseguridad Morphisec Labs sigue la misma cadena de ataques bajo el apodo independiente «MirrorBlast».
Según los informes, los ataques comenzaron como una serie de oleadas de correo electrónico de bajo volumen, entregando solo unos pocos miles de mensajes en cada etapa antes de aumentar a fines de septiembre y el 13 de octubre, lo que generó decenas de cientos de miles de correos electrónicos.
«Muchas campañas, especialmente las de grandes volúmenes, recuerdan mucho a la actividad histórica de TA505 de 2019 y 2020», dijeron los investigadores. «Las características comunes incluyen convenciones de nomenclatura de dominio similares, cebos de correo electrónico, cebos de Excel y entrega de acceso remoto FlawedGrace (RAT)».
El grupo tiene experiencia en aprovechar los ataques a institutos de investigación, bancos, minoristas, empresas de energía, instalaciones médicas, aerolíneas y agencias gubernamentales, y las actividades insidiosas generalmente comienzan abriendo archivos adjuntos de malware en informes de phishing. relacionados con actualizaciones de COVID-19, eventos de seguros o notificaciones de archivos compartidos de Microsoft OneDrive.
«Con el tiempo, el TA505 ha evolucionado de un socio más pequeño a una operación delictiva avanzada, autónoma y versátil con una amplia gama de objetivos», dijo NCC Group en un análisis publicado en noviembre de 2020. Sin embargo, las actividades fraudulentas del grupo ahora opera principalmente independientemente de la infección inicial hasta la monetización «.
Sin embargo, el éxito de la última campaña depende de si los usuarios habilitan macros después de abrir archivos adjuntos de Excel maliciosos, después de lo cual se descarga un archivo MSI ofuscado para cargar los cargadores de la próxima etapa antes de entregar una versión actualizada de FlawedGrace RAT, que incluye soporte para cadenas cifradas. y llamadas API confusas.
FlawedGrace, observado por primera vez en noviembre de 2017, es un troyano de acceso remoto (RAT) con todas las funciones escrito en C ++ que está diseñado intencionalmente para frustrar la ingeniería inversa y el análisis. Viene con una lista de capacidades que le permiten comunicarse con el servidor de comando y control para recibir instrucciones y filtrar los resultados de estos comandos al servidor.
La ola de ataques del actor en octubre también es significativa por su cambio de táctica, que implica el uso de cargadores transitorios rediseñados escritos en lenguajes de programación inusuales como Rebol y KiXtart en lugar de Get2, un descargador previamente implementado por el grupo para realizar investigaciones y descargar e instalar la fase final de carga útil de RAT.
«TA505 es un jugador de amenazas establecido que tiene motivación financiera y es conocido por realizar campañas de correo electrónico malicioso en una escala sin precedentes», dijo Proofpoint. “El grupo cambia regularmente sus TTP y es considerado un creador de tendencias en el mundo del cibercrimen. Este actor de amenazas no limita su objetivo y es, de hecho, un oportunista equivalente a las áreas geográficas y verticales que ha decidido atacar”.
«Esto, combinado con la capacidad del TA505 de ser flexible, centrarse en lo que es más lucrativo y mover sus TTP según sea necesario, convierte al jugador en una amenaza permanente», agregó la firma de ciberseguridad.
