Operatori Dridex-a koriste novi trojanac u napadima

Kompanije Proofpoint objavila je izvještaj u kome posmatra nove napade hakerske grupe označene sa TA505. TA505 je ruska hakerska grupa koja je odgovorna za plasiranje bankarskog trojanca pod nazivom Dridex i ozloglašenog ransomvera Locky.

Izvještaj donosi analizu novog RAT (Remote Access Trojan) malvera pod nazivom SDBbot. Ovaj malver je napisan u C++ i sastoji se od više komponenti, te posjeduje više načina perzistencije. Istraživači iz Proofpoint-a su ovaj malver prvi put uočili tokom napada na korisnike u Južnoj Koreji. SDBbot je instaliran posredstvom novog Get2 download-era. Get2 je već korišćen tokom septembra u napadima na finansijske institucije u Grčkoj, Singapuru, UAE, Gruziju, Švedskoj i Litvaniji.

Tokom kampanje u septembru napadači su primarno koristili email priloge u obliku malicioznih Excel dokumenata i ISO datoteka. Kampanja iz oktobra se oslanjala na skraćene linkove koji su vodili ka malicioznim Excel datotekama.

Posmatrajući rad TA505, Proofpoint je uočio da ova grupa primarno koristi malvere za krađu informacija, nakon što su prošle godine napustili plasiranje ransomvera. SDBbot je posljednji u nizu trojanaca koje ova grupa koristi. Pored SDBbot-a ova grupa koristi FlawedGrace i FlawedAmmyy trojance.

Izvor: www.securityweek.com

Operatori Dridex-a koriste novi trojanac u napadima

Operatori Dridex-a koriste novi trojanac u napadima

MITRE CVE Twitter feed

CERTRS Kontakt informacije

Vlada republike srpske

Akademska istraživačka mreža republike srpske