MonsterBytes
A Proofpoint bemutatja, hogy a TA585 nevű fenyegető csoport miként fejlesztette tovább elkövetési technikáit és eszköztárát, hogy kifinomultabb és kitartóbb támadásokat hajthasson végre. A kutatás több mint 4000 kompromittált szerveradatot és több mint 30 különféle malware-komponenst vizsgált meg, és feltárta a támadó vírustechnikai evolúcióját olyan vektorokkal, amelyek skálázható és változatos hozzáférést biztosítanak.
A TA585 gazdasági érdekű támadásokra fókuszál, különösen keleten és Európában, használ portálszkripteket, webshell-eket és különféle loader-mechanizmusokat, hogy új payloadokat szállítson. A MonsterBytes egy olyan konfiguráció, amely dinamikusan változtatja a komponenseket a behatolás során, a loader komponensek részeként használja a XLS loader, DLL sideloading technikákat, és több lépésben telepíti a backdoor modulokat. A kutatók feltártak olyan eszközvonalakat, mint a RedLine stealer, a Vidar stealer, valamint saját fejlesztésű modulok, amelyek célja az információgyűjtés, billentyűleütés-naplózás, képernyővágások készítése és fájlok eltulajdonítása.
A TA585 már nem egyszerű fenyegető szereplő, eszközei között redundancia, fallback csatornák és fragmentált C2- infrastruktúra is szerepel, így ha egy komponens leáll vagy felfedezik, a támadó zökkenőmentesen használ más komponenseket. A Proofpoint kiemeli, hogy ezen korszerű eszköztár lehetővé teszi a hosszú távú tartózkodást (persistence) és széles körű mozgást a hálózatokon belül.
