సైబర్ సెక్యూరిటీ ఇలస్ట్రేషన్
ఫిషింగ్ మరియు ఇతర రకాల మాల్వేర్ దాడులను అమలు చేయడానికి అధునాతన పద్ధతులతో కూడిన ప్రొఫెషనల్ హ్యాకింగ్ సమూహం దాని దిశను మారుస్తున్నట్లు కనిపిస్తుంది. పరిమాణంపై నాణ్యతకు ప్రాధాన్యత ఇవ్వాలనే స్పష్టమైన లక్ష్యంతో, అప్రసిద్ధ TA505 సమూహం హ్యాకర్లు ఆండ్రోమట్ అనే కొత్త హానికరమైన కోడ్ను ఉపయోగించి పైవట్ చేశారు. ఆసక్తికరంగా, మాల్వేర్ ఆండ్రోమెడ నుండి ప్రేరణ పొందినట్లు కనిపిస్తుంది. వాస్తవానికి మరొక హ్యాకింగ్ సమూహం రూపొందించిన ఆండ్రోమెడా 2017 లో మాదిరిగానే ప్రపంచంలోనే అతిపెద్ద మాల్వేర్ బాట్నెట్లలో ఒకటి. ఆండ్రోమెడ కోడ్ ఆధారంగా బోట్నెట్లు విండోస్ ఆపరేటింగ్ సిస్టమ్ను నడుపుతున్న అనేక అనుమానాస్పద మరియు హాని కలిగించే పిసిలపై దాని పేలోడ్ డెలివరీని విజయవంతంగా అమలు చేశాయి. ఆండ్రోమట్ ఎక్కువగా హ్యాకర్ సమూహాల మధ్య సహకారాన్ని సూచించే ఈ ఆండ్రోమెడా కోడ్ ఆధారంగా ఎక్కువగా ఉంది.
తమను TA505 అని పిలిచే ప్రపంచంలోని అత్యంత విజయవంతమైన సైబర్ క్రైమినల్ సమూహాలలో ఒకటి, దాని వ్యూహాలను మార్చినట్లు కనిపిస్తుంది. ఆర్థిక సమాచారంపై దాడి చేసి, దొంగిలించే తాజా హానికరమైన ప్రచారంలో భాగంగా, ఈ బృందం కొత్త రకాల మాల్వేర్లను పంపిణీ చేయడంలో బిజీగా ఉంది. పైవట్లో భాగంగా, పెద్ద సంఖ్యలో వ్యక్తులను లక్ష్యంగా చేసుకోవడానికి బదులుగా, TA505 సమూహం బ్యాంకులు మరియు ఇతర ఆర్థిక సేవలను అనుసరిస్తున్నట్లు కనిపిస్తుంది. యాదృచ్ఛికంగా, ప్రవేశ స్థానం లేదా మూలం ఒకే విధంగా ఉంటుంది, కానీ ఉద్దేశించిన లక్ష్యం మరియు దృష్టి వ్యవస్థీకృత ఆర్థిక రంగంపై కనిపిస్తుంది. యాదృచ్ఛికంగా, యుఎస్, యునైటెడ్ అరబ్ ఎమిరేట్స్ మరియు సింగపూర్లోని ఆర్థిక సంస్థలు అధిక అప్రమత్తంగా ఉండాలని మరియు ఏదైనా అనుమానాస్పద కంటెంట్ కోసం చూడాలని సూచించారు. దాడి యొక్క కొన్ని సాధారణ అంశాలు అధికారికంగా కనిపించే ఇమెయిల్లుగా మిగిలిపోయాయి.
TA505 గ్రూప్ ఆండ్రోమెడాను అభివృద్ధి చేయడానికి మరియు అమలు చేయడానికి ఆండ్రోమెడ బేస్ను ఉపయోగిస్తుంది
అప్రసిద్ధ TA505 సమూహం గత నెలలో దాని తీవ్రతను పెంచినట్లు కనిపిస్తోంది మరియు అదే క్రూరత్వంతో కొనసాగింది. బాధితుల యంత్రాలపై నియంత్రణ సాధించడానికి ప్రయత్నించే యాదృచ్ఛిక దాడులను అమలు చేయడానికి ఇది ఇకపై ప్రయత్నించడం లేదు. మరో మాటలో చెప్పాలంటే, మాస్ ఫిషింగ్ ఇమెయిళ్ళు ఇకపై ఇష్టపడే వ్యూహాలు కావు. బదులుగా, TA505 సమూహం దాడుల పరిమాణాన్ని గణనీయంగా తగ్గించింది మరియు స్పష్టంగా మరింత లక్ష్య దాడులకు మారింది.
నుండి రాయడం బాగుంది ప్రూఫ్ పాయింట్
ఫ్లావ్డ్అమ్మీని డౌన్లోడ్ చేయడానికి ఆండ్రోమట్ను ఉపయోగించిన TA505 ద్వారా రెండు విభిన్న ప్రచారాలను పరిశోధకులు చర్చిస్తున్నారు. ఆండ్రోమట్ సి ++ లో వ్రాయబడింది మరియు ఇది ఒక రకమైన డౌన్లోడ్.
బ్లాగ్: https://t.co/vIDcrhKQ3z
నమూనాలు: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0
- ఇన్క్వెస్ట్ (nInQuest) జూలై 3, 2019
అనేక అనుమానాస్పద ఇమెయిళ్ళు మరియు ఇతర రకాల ఎలక్ట్రానిక్ కమ్యూనికేషన్ మరియు మీడియా యొక్క విశ్లేషణ ఆధారంగా, వద్ద సైబర్-భద్రతా పరిశోధకులు ప్రూఫ్ పాయింట్ హ్యాకర్ల సమూహం బ్యాంకుల ఉద్యోగులను మరియు ఇతర ఆర్థిక సేవా సంస్థలను లక్ష్యంగా చేసుకుంటున్నట్లు సూచించింది. అధునాతన మాల్వేర్ యొక్క కొత్త రూపాన్ని కూడా పరిశోధకులు కనుగొన్నారు. పరిశోధకులు దీనిని ఆండ్రోమట్ అని పిలుస్తున్నారు మరియు మాల్వేర్కు ఆండ్రోమెడతో చాలా తక్కువ సారూప్యతలు ఉన్నాయని కనుగొన్నారు. పూర్తిగా భిన్నమైన హ్యాకర్ల బృందం రూపకల్పన చేసి, అమలు చేసింది, ఆండ్రోమెడ అత్యంత విజయవంతంగా అమలు చేయబడిన, ప్రమాదకరమైనది మరియు ప్రపంచంలో అతిపెద్ద మాల్వేర్ బాట్నెట్ల నెట్వర్క్లో ఒకటి. 2017 వరకు, ఆండ్రోమెడ విస్తృతంగా వ్యాపించింది మరియు విండోస్ ఆపరేటింగ్ సిస్టమ్ను నడుపుతున్న హాని కలిగించే పిసిలలో విజయవంతంగా ఇన్స్టాల్ చేస్తుంది.
మాల్వేర్ దాడిని TA505 గ్రూప్ ఎలా అమలు చేస్తుంది?
ఇతర TA505 సమూహం యొక్క దాడుల మాదిరిగానే, కొత్త ఆండ్రోమట్ మాల్వేర్ కూడా చట్టబద్ధంగా కనిపించే ఇమెయిల్ల ద్వారా పంపిణీ చేయబడుతుంది. ఫిషింగ్ దాడులలో అధిక అధికారిక మరియు ప్రామాణికమైనదిగా భావించే ఇమెయిల్లు ఉంటాయి. ఇటువంటి ఇమెయిల్లు సాధారణంగా ఇన్వాయిస్లు మరియు బ్యాంకింగ్ మరియు ఫైనాన్స్కు సంబంధించిన ఇతర పత్రాలను కలిగి ఉన్నాయని పేర్కొన్నాయి. ఫిషింగ్లో ఉపయోగించే ఇమెయిల్లు తరచూ శ్రమతో సృష్టించబడతాయి. అనేక ఇమెయిల్లు జనాదరణ పొందిన పిడిఎఫ్ పత్రాన్ని కలిగి ఉన్నప్పటికీ, TA505 సమూహం నుండి ఫిషింగ్ ఇమెయిళ్ళు వర్డ్ పత్రాలపై ఆధారపడినట్లు కనిపిస్తున్నాయి.
https://twitter.com/rsz619mania/status/1146387091598667777
సందేహించని బాధితుడు లేస్డ్ వర్డ్ పత్రాన్ని తెరిచిన తర్వాత, దాడి కొనసాగించడానికి సమూహం సోషల్ ఇంజనీరింగ్పై ఆధారపడుతుంది. ఇది సంక్లిష్టంగా అనిపించవచ్చు, కానీ వాస్తవానికి, దాడి వర్డ్ డాక్యుమెంట్లోని ‘మాక్రోస్’ యొక్క పురాతన పద్ధతిపై ఆధారపడి ఉంటుంది. సమాచారం ‘రక్షించబడింది’ అని లక్ష్యాలు తెలియజేయబడతాయి మరియు దాని విషయాలను చూడటానికి వారు సవరణను ప్రారంభించాలి. ఇలా చేయడం వల్ల మాక్రోలు ఎనేబుల్ అవుతాయి మరియు ఆండ్రోమట్ను యంత్రానికి బట్వాడా చేయడానికి అనుమతిస్తుంది. ఈ మాల్వేర్ అప్పుడు తెలివిగా FlawedAmmyy ని డౌన్లోడ్ చేస్తుంది. రెండూ వ్యవస్థాపించబడిన తర్వాత, బాధితుల యంత్రాలు పూర్తిగా రాజీపడతాయి.
ఆండ్రోమట్ అంటే ఏమిటి మరియు మల్టీ-స్టేజ్ మాల్వేర్ ఎలా పనిచేస్తుంది?
TA505 ప్రస్తుతం రెండు దశల దాడిలో మొదటి దశగా ఆండ్రోమట్ను ఉపయోగిస్తోంది. మరో మాటలో చెప్పాలంటే, ఆండ్రోమట్ విజయవంతమైన సంక్రమణ మరియు బాధితుల కంప్యూటర్ల నియంత్రణ యొక్క మొదటి భాగం. చొచ్చుకుపోవడంలో విజయవంతం అయిన తర్వాత, ఆండ్రోమట్ సంక్రమణను తెలివిగా రెండవ పేలోడ్ను రాజీ యంత్రంలో పడవేస్తుంది. హానికరమైన కోడ్ యొక్క రెండవ పేలోడ్ను FlawedAmmyy అంటారు. ముఖ్యంగా, FlawedAmmyy ఒక శక్తివంతమైన మరియు సమర్థవంతమైన రిమోట్ యాక్సెస్ ట్రోజన్ లేదా RAT.
దూకుడు రెండవ దశ RAT FlawedAmmyy అనేది బాధితుల కంప్యూటర్లకు రిమోట్ యాక్సెస్ను మంజూరు చేసే ఒక మాల్వేర్. దాడి చేసేవారు రిమోట్ అడ్మినిస్ట్రేటివ్ అధికారాలను పొందవచ్చు. లోపలికి ప్రవేశించిన తర్వాత, దాడి చేసేవారికి ఫైల్లు, ఆధారాలు మరియు మరిన్నింటికి పూర్తి ప్రాప్యత ఉంటుంది.
యాదృచ్ఛికంగా, డేటా, లక్ష్యం కాదు. మరో మాటలో చెప్పాలంటే, డేటాను దొంగిలించడం ప్రాథమిక ఉద్దేశ్యం కాదు. పైవట్లో భాగంగా, బ్యాంకులు మరియు ఇతర ఆర్థిక సంస్థల యొక్క అంతర్గత నెట్వర్క్కు ప్రాప్యతనిచ్చే సమాచారం తరువాత TA505 సమూహం.
TA505 ఆండ్రోమట్ మాల్వేర్ను ప్రారంభించింది https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- సి_138 (@ సి_138) జూలై 3, 2019
TA505 గ్రూప్ డబ్బును అనుసరిస్తోంది, నిపుణులు చెప్పండి:
హ్యాకింగ్ గ్రూప్ యొక్క కార్యకలాపాల గురించి మాట్లాడుతూ, క్రిస్ డాసన్, బెదిరింపు ఇంటెలిజెన్స్ లీడ్ ఎట్ ప్రూఫ్ పాయింట్ 'A505 ప్రధానంగా RAT లను మరియు డౌన్లోడర్లను బ్యాంకింగ్ ట్రోజన్లు మరియు ransomware తో గతంలో ఉపయోగించిన దానికంటే ఎక్కువ లక్ష్య ప్రచారంలో పంపిణీ చేయడానికి వారి వ్యూహాలలో ప్రాథమిక మార్పును సూచిస్తుంది. ముఖ్యంగా సమూహం దీర్ఘకాలిక డబ్బు ఆర్జనకు సంభావ్యత కలిగిన అధిక నాణ్యత అంటువ్యాధుల తర్వాత వెళుతుంది - పరిమాణం కంటే నాణ్యత. ”
సైబర్ క్రైమినల్స్ తప్పనిసరిగా వారి దాడులను చక్కగా తీర్చిదిద్దుతున్నాయి మరియు భారీ ఇమెయిల్ ప్రచారాలను చేపట్టడానికి బదులుగా వారి లక్ష్యాలను ఎంచుకుంటున్నారు మరియు బాధితులను దోచుకోవాలని భావిస్తున్నారు. వారు డేటా తరువాత, మరియు ముఖ్యంగా, సున్నితమైన సమాచారం, డబ్బును దొంగిలించడానికి. తాజా ఇరుసు తప్పనిసరిగా మార్కెట్ మరియు డబ్బును అనుసరించే హ్యాకర్లకు ఉదాహరణ. అందువల్ల వ్యూహంలో మార్పు శాశ్వతంగా పరిగణించబడదు, డాసన్ గమనించాడు, “ఈ షిఫ్ట్ యొక్క అంతిమ ఫలితం లేదా ఎండ్గేమ్ స్పష్టంగా లేదు. A505 డబ్బును చాలా అనుసరిస్తుంది, ప్రపంచ పోకడలకు అనుగుణంగా ఉంటుంది మరియు వారి రాబడిని పెంచడానికి కొత్త భౌగోళికాలు మరియు పేలోడ్లను అన్వేషిస్తుంది. ”
టాగ్లు మాల్వేర్
