Κάποιοι ερευνητές ανακάλυψαν πρόσφατα μια νέα hacking ομάδα, η οποία ονομάζεται TA2101 και πραγματοποιεί επιθέσεις σε γερμανικές και ιταλικές εταιρείες με σκοπό την εγκατάσταση malware backdoor στο δίκτυό τους. Οι hackers της TA2101 χρησιμοποιούν νόμιμα penetration testing εργαλεία και backdoor framework, όπως τα Cobalt Strike και Metasploit για να εκμεταλλευτούν τα συστήματα των θυμάτων.
Συνήθως, αυτά τα εργαλεία χρησιμοποιούνται από τις εταιρείες για τον εντοπισμό ευπαθειών και την προστασία των συστημάτων τους. Ωστόσο, έχουμε δει και άλλες hacking ομάδες, όπως τις Cobalt Group, APT32 και APT19 να τα χρησιμοποιούν για την ανάπτυξη κακόβουλου λογισμικού.
Οι επιτιθέμενοι ξεκινούν, συνήθως, τις επιθέσεις τους με phishing τεχνικές και social engineering και συνεχίζουν με banking Trojans και ransomware.
Οι ερευνητές ανακάλυψαν, επίσης, ότι η νέα hacking ομάδα TA2101 χρησιμοποίησε το ransomware Maze για να επιτεθεί σε μια ιταλική εταιρεία, καθώς και την τεχνική του social engineering.
Εκμετάλλευση των Windows μέσω κακόβουλων εγγράφων του Word
Οι επιθέσεις της ομάδας TA2101 ανακαλύφθηκαν από ερευνητές της Proofpoint. Η κακόβουλη εκστρατεία έλαβε χώρα μεταξύ 16 Οκτωβρίου και 12 Νοεμβρίου 2019. Οι hackers έστελναν κακόβουλα emails σε εταιρείες της Γερμανίας, της Ιταλίας και των Ηνωμένων Πολιτειών. Βασικοί τους στόχοι ήταν υπηρεσίες πληροφορικής, κατασκευαστικές εταιρείες και οργανισμοί υγειονομικής περίθαλψης.
Σύμφωνα με τους ερευνητές, τα περισσότερα emails περιείχαν κακόβουλα έγγραφα Word.
Το μήνυμα προέτρεπε τα θύματα να ανοίξουν το κακόβουλο συνημμένο έγγραφο. Αν οι χρήστες έκαναν κλικ στο έγγραφο, ενεργοποιούνταν η εκτέλεση του PowerShell script.
Το Powershell script, με τη σειρά του, μεταφόρτωνε και εγκαθιστούσε το Maze ransomware στη συσκευή του θύματος.
Οι hackers έστελναν διαφορετικά emails στα θύματα. Σε κάποια από αυτά, φαινόταν ως αποστολέας το Γερμανικό Ομοσπονδιακό Υπουργείο Οικονομικών. Τα θύματα θα έπρεπε να ανοίξουν το κακόβουλο έγγραφο για να βρουν πληροφορίες σχετικά με το πώς να αποφύγουν περαιτέρω φορολόγηση και κυρώσεις.
Πρόσφατα, οι ερευνητές της Proofpoint εντόπισαν μια άλλη εκστρατεία με emails που περιείχαν κακόβουλα έγγραφα Word, τα οποία μόλυναν τα συστήματα των θυμάτων με το IcedID banking Trojan.
Και σε εκείνη την εκστρατεία, το κακόβουλο έγγραφο οδηγούσε στην εγκατάσταση κακόβουλου λογισμικού, του payload IcedID, στα συστήματα εταιρειών. Βασικός στόχος της εκστρατείας ήταν οργανισμοί υγειονομικής περίθαλψης. Η διαδικασία μόλυνσης των συστημάτων ήταν ίδια με την πρόσφατη εκστρατεία της TA2101.
Οι τεχνικές που χρησιμοποιεί η συγκεκριμένη hacking ομάδα είναι πολύ εξελιγμένες και δείχνουν ότι οι hackers είναι πολύ έμπειροι και έτοιμοι για πολλές επιθέσεις ακόμα.
