Expertos en seguridad descubrieron una nueva campaña del actor de amenazas ruso enfocado al rubro financiero, TA505. Los piratas informáticos utilizaron troyanos de acceso remoto (RAT) en ataques dirigidos a entidades financieras en los Estados Unidos y en todo el mundo.
El grupo TA505 fue visto por primera vez por Proofpoint (empresa de ciberseguridad) en 2017, y ha estado activo al menos desde 2015 y está dirigido a organizaciones en industrias financieras y minoristas. El grupo llevó a cabo una gran cantidad de campañas maliciosas utilizando documentos de Office y PDF’s con el fin de entregar un malware, dentro de los troyanos bancarios identificados se encuentran Dridex, el RAT tRAT, el RAT FlawedAmmy, el ransomware de Filadelfia, GlobeImposter y el ransomware Locky. De todas formas el uso de troyanos bancarios como Shifu y Dridex, así como por las campañas masivas de ransomware Locky observadas hace varios años son los principales hechos destacables de este grupo.
En ataques recientes, los expertos observaron al grupo usando nuevas Backdoors, incluyendo el tRat modular y ServHelper. En cambio, las campañas realizadas entre diciembre de 2018 y febrero de 2019, TA505 aprovechó el Backdoor del Sistema de Manipulación Remoto (RMS) para dirigirse a las instituciones financieras en Chile, India, Italia, Malawi, Pakistán Corea del Sur, entre otros.
Dentro del informe se puede apreciar que los documentos con malware utilizados en los ataques aprovechan el instalador de Microsoft Windows para descargar el Payload desde el centro de comando y control (C2) y posteriormente, ejecutarlo. También, se identificó que los atacantes utilizan ServHelper RAT desde noviembre de 2018, lo que les permitirá configurar túneles SSH inversos para obtener acceso remoto a la máquina comprometida a través de una conexión RDP.
Si deseas conocer toda información de la investigación realizada al grupo TA505, incluyendo los indicadores de compromiso (IoC), visita el link de referencia.
REFERENCIA
COMENTARIOS