TA505黑客使用TeslaGun面板管理ServHelper后門攻擊

網絡安全研究人員對一個被稱為TA505的金融威脅組織使用的先前未記錄的軟件控制面板進行了深入研究。

瑞士網絡安全公司PRODAFT在與《黑客新聞》分享的一份報告中表示：“該集團經常改變其惡意軟件攻擊策略，以應對全球網絡犯罪趨勢”。“它機會主義地采用新技術，以便在更廣泛的網絡安全行業流行之前獲得對受害者的影響力”。

TA505還以邪惡公司、金德雷克、杜達爾、因德里克蜘蛛和SectorJ04的名義被追蹤，是臭名昭著的Dridex銀行特洛伊木馬背后的一個激進的俄羅斯網絡犯罪辛迪加，近年來與一系列勒索活動有關。

據說這也與2021 9月份出現的樹莓羅賓攻擊有關，惡意軟件和Dridex之間的相似性被發現。

與該組織相關的其他著名惡意軟件家族包括FailureDammyy、中微子僵尸網絡和代號為ServHelper的后門，其中一種變體能夠下載名為FailuredGrace的遠程訪問特洛伊木馬。

該控制面板被稱為TeslaGun，據說被敵方用來管理ServHelper植入物，作為指揮和控制（C2）框架來控制受損機器。

此外，面板提供了攻擊者發出命令的能力，更不用說向go中的所有受害者設備發送單個命令或配置面板，以便在新受害者添加到面板時自動運行預定義命令。

研究人員說：“TeslaGun面板具有務實、簡約的設計。主儀表板僅包含受感染的受害者數據，每個受害者的通用評論部分，以及過濾受害者記錄的幾個選項”。

除了使用面板，已知威脅參與者還使用遠程桌面協議（RDP）工具通過RDP隧道手動連接到目標系統。

PRODAFT對TeslaGun受害者數據的分析表明，自2020年7月以來，該組織的網絡釣魚和有針對性的活動已達到至少8160個目標。這些受害者中的大多數位于美國（3667），其次是俄羅斯（647）、巴西（483）、羅馬尼亞（444）和英國（359）。

“很明顯，TA505正在積極尋找在線銀行或零售用戶，包括加密錢包和電子商務賬戶，”研究人員指出，并引用了TeslaGun小組中敵對團體的評論。

美國衛生與公眾服務部（HHS）警告稱，該組織通過旨在竊取知識產權和勒索軟件的數據過濾攻擊，對衛生部門構成了重大威脅。

“邪惡公司擁有一系列功能強大的工具可供使用，”該機構的衛生部門網絡安全協調中心（HC3）在上個月晚些時候發布的一份咨詢中表示。

“這些軟件是在內部開發和維護的，但通常與商品惡意軟件、以土地為生的技術和為合法和合法安全評估而設計的通用安全工具一起使用”。