Содержание
Цели:
- Кража денежных средств
Общее описание
Впервые деятельность группы TA505 была обнаружена и описана в 2014 году, однако сама группа предположительно существует с 2006 года. Жертвами группы выступают компании различных секторов по всему миру. Группа использует широкий диапазон инструментов предназначенные под любые задачи. Основным способом проникновения в инфраструктуру является фишинг. Находит своих жертв по всему миру, избегая СНГ. По данным исследователей группа, предположительно, русскоговорящая. TA505 Следуют последним трендам: в атаках использовала тему COVID-19 и уязвимость ZeroLogon.
Инструменты
- Банковские трояны
- - Dridex
- - Shifu
- - Trickbot
- - Zeus
- RAT
- - FlawedAmmyy
- - FlawedGrace
- - SDBbot
- - BackNet
- - RMS
- Ботнеты
- - Neutrino
- - Amadey
- - GameOver Zeus
- Бэкдоры
- - ServHelper
- - FlowerPippi
- Шифровальщики
- - Locky
- - Jaff
- - GlobeImposter
- - Rapid
- - Clop/CryptoMix
- - MINERBRIDE
- - MINERBRIDE
- - Bart
- - DoppelPaymer
- - Philadelphia
- - Snatch
- Вебшеллы
- - DEWMODE
- Стилеры
- - GraceWire
- - Kegotip
- - EmailStealer
- - Pony
- Фреймворки
- - Metasploit
- - Cobalt Strike
- Загрузчики
- - AndroMut
- - Rockloader
- - Gelup
- - Get2
- - Quant
- - Marap
- Стейджеры
- - TinyMet
Атакуемые отрасли
- Финансовый сектор
- Энергетика
- Фармацевтика
- Авиационно-космическая промышленность
- Государственный сектор
- Исследовательские компании
Атакуемые страны
- США
- Великобритания
- Канада
- Южная Корея
- Китай
- Франция
- Германия
- Венгрия
- Индия
- Италия
- Мексика
- Пакистан
- Малави
- Тайвань
- Украина
Альтернативные названия группы
- EvilCorp
- ATK 103
- SectorJ04
- Hive0065
- GRACEFUL SPIDER
- GOLD TAHOE
- Dudear, CHIMBORAZO
Отчеты Positive Technologies и других исследователей
- https://www.ptsecurity.com/ru-ru/about/news/ta505-stanovitsya-samoy-opasnoy-kiberprestupnoy-gruppirovkoy-v-mire/
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part1/
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part2/
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part3/
- https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part4/
- https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html
- https://www.proofpoint.com/us/blog/threat-insight/ta505-and-others-launch-new-coronavirus-campaigns-now-largest-collection-attack
- https://www.proofpoint.com/us/threat-insight/post/ta505-distributes-new-sdbbot-remote-access-trojan-get2-downloader
- https://www.cyberscoop.com/ta505-south-korea-bank-phishing/
- https://www.bankinfosecurity.com/ta505-apt-group-returns-new-techniques-report-a-13678
- https://www.blueliv.com/cyber-security-and-cyber-threat-intelligence-blog-blueliv/using-qiling-framework-to-unpack-ta505-packed-samples/
- https://blog.fox-it.com/2020/11/16/ta505-a-brief-history-of-their-time/
- https://www.avira.com/en/blog/ta505-apt-group-targets-americas
- https://www.hornetsecurity.com/en/security-information/clop-clop-ta505-html-malspam-analysis/
- https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-009.pdf
- https://www.blueliv.com/cyber-security-and-cyber-threat-intelligence-blog-blueliv/research/servhelper-evolution-and-new-ta505-campaigns/
- https://github.com/StrangerealIntel/CyberThreatIntel/blob/master/cybercriminal%20groups/TA505/04-10-2019/Malware%20Analysis%2004-10-2019.md
- https://www.trendmicro.com/en_us/research/19/h/ta505-at-it-again-variety-is-the-spice-of-servhelper-and-flawedammyy.html
- https://documents.trendmicro.com/assets/Tech-Brief-Latest-Spam-Campaigns-from-TA505-Now-Using-New-Malware-Tools-Gelup-and-FlowerPippi.pdf
- https://yoroi.company/research/ta505-is-expanding-its-operations/
- https://yoroi.company/research/the-stealthy-email-stealer-in-the-ta505-arsenal/
- https://www.cybereason.com/blog/threat-actor-ta505-targets-financial-enterprises-using-lolbins-and-a-new-backdoor-malware
- https://e.cyberint.com/hubfs/Report%20Legit%20Remote%20Access%20Tools%20Turn%20Into%20Threat%20Actors%20Tools/CyberInt_Legit%20Remote%20Access%20Tools%20Turn%20Into%20Threat%20Actors'%20Tools_Report.pdf
- https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta505-dridex-globeimposter
- https://apt.thaicert.or.th/cgi-bin/showcard.cgi?u=0ac7cc26-cb85-42f7-a2c1-41762b2e2541
Тактики из MITRE ATT&CK, использованные группой
ID | Название | Описание |
---|---|---|
Initial Access | ||
T1566.001 | Spearphishing Attachment | Группа TA505 использовала фишинговые письма с вредоносным вложением для первоначальной компрометации жертв |
T1566.002 | Spearphishing Link | Группа TA505 использовала фишинговые письма с вредоносными ссылками для первоначальной компрометации жертв |
T1190 | Exploit Public-Facing Application | Группа TA505 использовала ZeroLogon |
Execution | ||
T1559.002 | Dynamic Data Exchange | Группа TA505 использовала вредоносные документы Word, эксплуатирующие DDE |
T1059.001 | PowerShell | Группа TA505 использовала PowerShell для загрузки и исполнения ВПО и и скриптов разведки |
T1059.005 | Visual Basic | Группа TA505 использовала VBS для исполнения кода |
T1059.007 | JavaScript/JScript | Группа TA505 использовала JavaScript для исполнения кода |
T1059.003 | Windows Command Shell | Группа TA505 исполняла команды, используя cmd.exe |
T1204.001 | Malicious Link | Группа TA505 просила пользователей переходить по ссылкам в электронных письмах и вложениях |
T1204.002 | Malicious File | Группа TA505 просила пользователей разрешить отображение вложений, таким образом исполняла вредоносные файлы. К примеру, TA505 маскировала свои программы под легитимные файлы MS Office, .pdf или .lnk файлы |
T1047 | Windows Management Instrumentation | Группа TA505, в рамках работы бэкдора ServHelper, использовала WMI для осуществления запросов, нацеленных на разведку |
Persistence | ||
T1574.002 | DLL Side-Loading | Группа TA505 использовала легитимное ПО, уязвимое к DLL Side-Loading, для исполнения вредоносного кода |
T1053.005 | Scheduled Task | Группа TA505 использовала загрузчик Gelup, который закреплялся в системе посредством создания записей в планировщике задач schtasks.exe |
T1547.001 | Registry Run Keys / Startup Folder | Группа TA505 использовала реестр для закрепления в системе |
Privilege Escalation | ||
T1546.011 | Application Shimming | Группа TA505 использовала механизм application shimming в SDBbot для закрепления в системе |
T1548.002 | Bypass User Account Control | Группа TA505 обходила UAC, используя планировщик задач и подгрузку вредоносной библиотеки в легитимные приложения с нужными привилегиями |
Defense Evasion | ||
T1027 | Obfuscated Files or Information | Группа TA505 использовала защищенные паролем вредоносные документы Word и использовала скрипты PowerShell, закодированные Base64 |
T1218.007 | Msiexec | Группа TA505 использовала msiexec для загрузки и исполнения ВПО |
T1218.011 | Rundll32 | Группа TA505 использовала rundll32.exe для исполнения вредоносных библиотек |
T1553.002 | Code Signing | Группа TA505 подписывала ВПО, используя сертификаты Thawte and Sectigo |
T1078.002 | Domain Accounts | Группа TA505 использовала украденные учетные записи администраторов домена для взлома других узлов |
T1027.002 | Software Packing | Группа TA505 использовала UPX для обфускации вредоносного кода |
T1055.001 | Dynamic-link Library Injection | Группа TA505 внедряла свой код путем подгрузки вредоносной библиотеки в winword.exe |
T1497 | Virtualization/Sandbox Evasion | Группа TA505 использовала инструменты, которые могут избегать автоматического анализа. Например, требовать двойного щелчка мышью по OLE-объекту в офисном документе для старта его работы, что может вызвать трудности у песочниц |
T1211 | Exploitation for Defense Evasion | Группа TA505 использовала обход UAC с помощью системной утилиты sysprep.exe |
T1564.003 | Hidden Window | Группа TA505 скрывало окно TeamViewer в бэкдоре ServHelper, что использовалось для осуществления скрытого удаленного доступа |
Credential Access | ||
T1552.001 | Credentials In Files | Группа TA505 использовала ВПО для сбора учетных данных пользователей из клиентов FTP и Outlook |
T1555.003 | Credentials from Web Browsers | Группа TA505 использовала ВПО для сбора учетных данных из Internet Explorer |
Discovery | ||
T1087.003 | Email Account | Группа TA505 использовала программу EmailStealer для кражи и отправки списков адресов электронной почты на удаленный сервер |
T1069 | Permission Groups Discovery | Группа TA505 использовала TinyMet для получения списка привилегированных пользователей. TA505 также запускала net group /domain |
Collection | ||
T1056 | Input Capture | Группа TA505 использовала бэкдор ServHelper, который обладает функциональностью кейлоггера |
Command And Control | ||
T1105 | Ingress Tool Transfer | Группа TA505 загружала дополнительное ВПО с C2 для запуска на системах жертв |
T1568.001 | Fast Flux DNS | Группа TA505 применяла Fast Flux DNS для маскировки ботнетов путем распространения полезной нагрузки используя различные IP-адреса |
T1071.001 | Web Protocols | Группа TA505 использовала HTTP для взаимодействия с контрольными серверами |
Impact | ||
T1486 | Data Encrypted for Impact | Группа TA505 использовала широкий спектр программ вымогателей, таких как Locky, Jaff, GlobeImposter, Rapid, Clop/Cruptomix, MINERBRIDE, Bart, DoppelPaymer, для шифрования файлов жертв и требования выкупа |