شناسایی حملات جدید بدافزاری گروه TA505 توسط شرکت مایکروسافت

بر اساس گزارش‌ منتشر شده از سوی شرکت مایکروسافت، کمپین حملات جدید بدافزاری گروه TA505 در حال استفاده از پیوست‌های دارای HTML برای تحویل فایل‌های مخرب اکسل به قربانیان است. گفته می‌شود این اولین‌باری است که مهاجمان از این شیوه برای اجرای حملات خود استفاده می‌کنند.
حملات بدافزاری گروه TA505

یافته‌های جدید محققان امنیتی شرکت مایکروسافت نشان می‌دهد که کمپین حملات بدافزاری جدید گروه TA505 در حال استفاده از پیوست‌های دارای HTML برای تحویل فایل‌های مخرب اکسل به قربانیان است. به گفته محققان مایکروسافت، پی‌لود نهایی به‌کار رفته در ایمیل‌های فیشینگ این حملات، با استفاده از یک فایل اکسل که در آن از یک ماکروی مخرب استفاده شده است، به قربانی تحویل داده می‌شود.

گروه TA505 که با نام‌های Evil Corp و SectorJ04 نیز شناخته می‌شود، یکی از گروه‌های هک در حوزه سرقت اطلاعات مالی است که حداقل از سال ۲۰۱۴ در حال فعالیت است. این گروه به‌سبب تمرکز روی حمله علیه شرکت‌های خرده فروشی و موسسات مالی از طریق کمپین‌های هرزنامه که توسط بات‌نت Necurs هدایت می‌شود، دارای شهرت بسیاری است.

محققان شرکت مایکروسافت در رابطه با حملات جدید این گروه گفته‌اند که هکرهای TA505 از هدایتگرهای HTML در ایمیل‌های خود استفاده کرده‌اند که هنگام باز شدن ایمیل، کدهای HTML به‌کار رفته در آن، منجر به بارگیری یک فایل اکسل دارای کدهای ماکرو مخرب به‌نام Dudear در سیستم کاربر می‌شود.

این موضوع در حالی است که در کمپین‌های قبلی، هکرها فایل بدافزار را به‌عنوان یک پیوست در ایمیل قرار می‌دادند یا از URL‌های منتهی به وب‌سایت‌های مخرب استفاده می‌کردند. 

همچنین یافته‌های محققان مایکروسافت نشان می‌دهد که اپراتورهای این کمپین فیشینگ از فایل‌های HTML محلی شده به زبان‌های مختلف برای قربانیانی از سراسر جهان استفاده می‌کنند. علاوه بر این، مهاجمان از یک سرویس ردیابی IP استفاده می‌کنند که به آنها اجازه می‌دهد آدرس‌های IP دستگاه‌هایی که فایل اکسل مخرب را بارگیری می‌کنند را ردیابی کنند.

بدافزار به‌کار رفته در این حملات، پس از اجرا در رایانه قربانی، سعی می‌کند که یک تروجان سارق اطلاعات به‌نام GraceWire را دریافت و اجرا کند.
این تروجان نیز هم‌مانند دیگر بدافزارهای سارق اطلاعات، پس از جمع‌آوری اطلاعات حساس از دستگاه قربانی، آن‌ها را از طریق سرور کنترل و فرمان برای اپراتورها ارسال می‌کند.

 

 

توضیحات بیشتر در:

Microsoft Detects New TA505 Malware Attacks After Short Break