Исследователи обнаружили новую панель управления группы Evil Corp
07/09/22
Исследователи кибербезопасности ИБ-компании PRODAFT описали ранее недокументированную панель управления ПО, используемого группировкой TA505 (Evil Corp).
По словам экспертов, группа часто меняет свои стратегии атак в зависимости от глобальных тенденций в области киберпреступности. Хакеры внедряют новые технологии, чтобы получить рычаги воздействия на жертв, прежде чем сообщество кибербезопасности заметит их тактику. Это передает Securitylab.
Панель управления под названием TeslaGun используется злоумышленником для управления бэкдором ServHelper, работая в качестве системы управления и контроля (C&C) для захвата скомпрометированных машин.
Кроме того, панель предлагает киберпреступнику возможность отдавать команды, а также отправить одну команду на все устройства жертвы. Также можно настроить панель таким образом, чтобы предопределенная команда автоматически выполнялась при добавлении новой жертвы.
Основная панель TeslaGun содержит только данные зараженных жертв, общий раздел комментариев для каждой жертвы и несколько вариантов фильтрации записей о жертвах.
Известно, что помимо использования панели хакеры также используют RDP-протокол для ручного подключения к целевым системам через туннели RDP.
Согласно анализу жертв TeslaGun, с июля 2020 года фишинговые и целевые кампании группы поразили не менее 8160 целей. Большинство этих жертв находятся в:
- США (3667);
- России (647);
- Бразилии (483);
- Румынии (444);
- Великобритании (359).
Основные цели TA505 – пользователи онлайн-банкинга, владельцы криптокошельков и пользователи электронной коммерции, а также компании из сектора здравоохранения.
Evil Corp имеет в своем распоряжении широкий набор высокопроизводительных инструментов. Они разрабатываются и поддерживаются собственными силами, но часто используются в сочетании с обычными вредоносными программами, LotL атаками и общими инструментами защиты, которые были разработаны для оценки безопасности.