Группа TA505, за полгода атаковавшая несколько десятков компаний из 64 стран, теперь угрожает не только финансовому сектору, но и другим отраслям
Экспертный центр безопасности компании Positive Technologies (PT Expert Security Center) представил анализ деятельности группы TA505. За последние шесть месяцев она резко усилила свою активность, атаковав 26 компаний¹, нарастила ресурсы и стала использовать более сложные техники для сокрытия своего присутствия. Среди целей — крупнейшие финансовые, производственные и транспортные компании, государственные структуры. Группировка атакует организации из Великобритании, Канады, США, Южной Кореи и десятков других стран.
Для проникновения в сети компаний-жертв группа использует фишинговые письма. С каждой новой волной атак злоумышленники привносят качественные изменения в свой инструментарий. С июня 2019 года новые загрузчики вредоносной программы FlawedAmmyy существенно отличаются от предыдущих версий. Исследователи Positive Technologies изучили алгоритм распаковки этого вредоносного ПО: это поможет лучше атрибутировать² активность группы и обнаруживать другие образцы ее инструментов, в том числе с новым набором функций. Так, ключевой части распаковщика предшествует изобилие бесполезных инструкций — к такой технике часто прибегают вирусописатели, чтобы сбить с толку эмуляторы антивирусных продуктов.
TA505 — одна из немногих групп, которые могут похвастаться активной деятельностью на протяжении долгого времени. С 2014 года в их арсенале числятся банковский троян Dridex, ботнет Neutrino, а также целая серия шифровальщиков — Locky, Jaff, GlobeImposter и др. С весны 2018 года группа использует remote access tool — FlawedAmmyy, а с конца прошлого года применяет новый бэкдор ServHelper.
«Обычно группа атакует тех, у кого можно украсть деньги. Однако в последние полгода она стала проявлять интерес к интеллектуальной собственности, которую можно монетизировать, — отсюда новые отрасли в списке мишеней. По совокупности признаков (частоте атак, географическому охвату, разнообразию целей, сложности инструментария) группу TA505 можно назвать наиболее опасной в последние полгода, — отмечает Алексей Новиков, директор экспертного центра безопасности компании Positive Technologies. — В настоящее время мы не фиксируем атак TA505 на российские компании. Но мы знаем, что она использует одну и ту же сетевую инфраструктуру совместно с группой Buhtrap, атакующей российский рынок, и можно предположить, что они сотрудничают или что у них один координатор. Если группа Buhtrap или другие группировки, нацеленные на российский рынок (RTM, Silence), снизят активность, TA505 вполне может занять и это направление».В 2019 году, кроме финансовых и государственных учреждений, мишенями TA505 стали исследовательские институты, энергетическая промышленность, компании из авиационной сферы, здравоохранения и других отраслей.
Для выявления подобных угроз необходим подход, направленный на лучшее понимание процессов, происходящих в инфраструктуре, а не на усиление ее периметра. Такой подход предполагает глубокий анализ трафика, ретроспективный анализ событий ИБ, профилирование действий пользователей и поддержку высококвалифицированных специалистов в области расследования инцидентов. Все это позволяет значительно сократить время присутствия злоумышленников в инфраструктуре, помешать им достигнуть поставленных целей.
- Экспертами Positive Technologies была выявлена вредоносная активность группы в 64 странах. Подтвержденные данные о конкретных целях есть в 26 случаях.
- Атрибуция — поиск связей вредоносного ПО с уже известными образцами за счет выявления одних и тех же тактик и схожих подходов к разработке ПО, применяемых злоумышленниками.