Неудачная попытка киберпреступников взломать крупную финансовую организацию предоставила исследователям безопасности новые данные о них. Речь идет о хакерской группировке TA505, ответственной за распространение вымогательского ПО Locky. Ее жертвами становятся финансовые организации по всему миру, но в этом месяце их постигла неудача – попытка атаковать неназванную компанию была пресечена ИБ-экспертами из Cybereason.
Благодаря неудачной кибератаке в руках у исследователей оказался образец переделанного бэкдора из арсенала TA505. Вредонос подписан легитимным цифровым сертификатом – тактика, обычно применяющаяся высококвалифицированными киберпреступниками для обхода обнаружения. Бэкдор был подписан всего за несколько часов до атаки сертификатом от удостоверяющего центра Sectigo (ранее Comodo), что свидетельствует о тщательной подготовке.
Исследователи выявили и другие ключевые аспекты операции TA505:
- Использование целенаправленного фишинга для взлома небольшого числа учетных записей лишь определенных сотрудников компании;
- Наличие у вредоноса избирательного механизма персистентности и команды для самоуничтожения;
- Удаление свидетельств кибератаки, включая команды для самоуничтожения и удаление скриптов;
- Наличие запасных C&C-доменов на случай внесения в черный список или невозможности подключения по другим причинам.
«На фоне групп, чей срок жизни редко превышает год или два, TA505 удается адаптироваться, меняться и продолжать добиваться успеха», - отметили в Cybereason.