Muvaffaqiyatsiz amalga oshirilgan kiberhujum TA505 kiberguruhining taktikasini fosh qildi.
Locky ransomware tarqatilishi ortida TA505 kiberjinoyatchilari turibdi.
Kiberjinoyatchilarning yirik moliyaviy institutni buzib kirishga urinishi muvaffaqiyatsiz yakunlandi, bu xavfsizlik tadqiqotchilariga guruh haqida yangi ma’lumotlarni taqdim etdi. Ushbu xakerlar guruhi Locky ransomware dasturini tarqatish uchun mas’ul bo’lgan TA505. Ularning qurbonlari orasida butun dunyo bo’ylab moliyaviy institutlar bor, ammo bu oyda ular Cybereason xavfsizlik mutaxassislari tomonidan noma’lum kompaniyaga hujum qilishga urinishning oldini olganlarida muvaffaqiyatsizlikka uchradilar. Muvaffaqiyatsiz kiberhujum tufayli tadqiqotchilar TA505 arsenalidan o’zgartirilgan orqa eshik namunasini olishdi. Zararli dastur qonuniy raqamli sertifikat bilan imzolangan – bu yuqori malakali kiberjinoyatchilar tomonidan aniqlashdan qochish uchun keng qo’llaniladigan taktika. Orqa eshik hujumdan bir necha soat oldin Sectigo (sobiq Comodo) sertifikatlash organining sertifikati bilan imzolangan, bu esa puxta tayyorgarlikni ko’rsatadi.
Tadqiqotchilar TA505 operatsiyasining boshqa muhim jihatlarini ham aniqladilar:
Faqat ma’lum bir kompaniya xodimlarining oz sonli akkauntlarini buzish uchun maqsadli fishingdan foydalanish;
Zararli dasturda tanlab qat’iylik mexanizmi va o’zini o’zi yo’q qilish buyrug’ining mavjudligi;
Kiberhujum dalillarini, jumladan, o’z-o’zini yo’q qilish buyruqlarini va skriptni olib tashlashni olib tashlash;
Qora ro’yxatga kiritilgan yoki boshqa sabablarga ko’ra ulana olmagan taqdirda zaxira C&C domenlarining mavjudligi.
«Umr ko’rish davomiyligi kamdan-kam hollarda bir yoki ikki yildan oshadigan guruhlar fonida TA505 moslashishga, o’zgarishga va muvaffaqiyat qozonishda davom etishga muvaffaq bo’ladi», deb ta’kidladi Cybereason.
