Outpost24’ler maviliv Labs, kötü şöhretli TA505 tehdit aktörünün Outpost24’ün tehdit araştırmacıları tarafından GraceWrapper adlı yeni bir tehlikeli RAT varyantı ile yeniden ortaya çıktığını bulduğunu duyurdu.
TA505, neredeyse on yıldır faaliyet gösterdiğine inanılan, finansal olarak motive edilmiş bir tehdit aktörü grubudur. Daha yakın yıllarda, grubun, Get2, Gelup veya Mirrorblast aracılığıyla indirilen SDBbot, FlawedAmmy ve FlawedGrace gibi çeşitli uzaktan yönetim kötü amaçlı yazılımlarını kullanarak kurumsal ağları tehlikeye attıktan sonra Clop fidye yazılımını çalıştırmaktan sorumlu olduğuna inanılıyor. Zamanla grup, çeşitli taktikler, teknikler ve prosedürler (TTP’ler) benimseyerek daha karmaşık hale geldi.
Outpost24’ler maviliv Laboratuvarlar, TA505’e atfedilen bilinen son spam operasyonu Mirrorblast spam kampanyasının geriye dönük analizinden elde edilen bulguları bir araya getirdi.
Saldırıya dahil olan kötü amaçlı yazılım parçalarının dolambaçlı dizisi içinde, kod ve davranış benzerliklerindeki belirgin ilişkiler nedeniyle birinin FlawedGrace RAT’ın güncellenmiş bir versiyonu olduğuna inanılıyor.
Derin dalış, TA505’in izinsiz giriş tekniklerini geliştirme, araçlarını koruma ve gizleme ve hem analistlerin hem de otomatik algılama çözümlerinin dikkatli bakışlarından kaçınma görevinde tereddüt etmediğini kanıtladı. Bunu yaparken, grup kendisini, sömürü sonrası görevler için güçlü bir kolaylaştırıcı ve modern işletmeler için geçerli bir tehdit olarak konumlandırdı.
Outpost24, Grace ailesinin en son üyesini daha iyi anlamak için, araştırmacılarımız anti-analiz teknikleri (uyku işlevi), şaşırtma taktikleri, enjeksiyon mekanizmaları, uyku işlevleri ve şaşırtıcı derecede gelişmiş diğerlerini incelerken grubun MirrorBlast kampanyasının yapısını ve teknik özelliklerini yeniden analiz etti. yeni bileşende bulunan işlevler. Ardından, TA505’in yeni indiricilerini algılama sistemlerini atlamak ve saldırılarının özelliklerini gizlemek için nasıl kullanabildiğini belirlemeye başladık.
“Derin dalışımız, TA505’in izinsiz giriş tekniklerini geliştirme, araçlarını koruma ve gizleme ve hem analistlerin hem de otomatik algılama çözümlerinin dikkatli bakışlarından kaçınma görevinde tereddüt etmediğini kanıtladı. Bunu yaparken, grup kendisini sömürü sonrası görevler için güçlü bir kolaylaştırıcı ve modern işletmeler için geçerli bir tehdit olarak konumlandırdı.”
Araştırmanın tamamını görüntülemek için buraya tıklayın