Los investigadores de seguridad cibernética han ofrecido información sobre un panel de control de software previamente no documentado utilizado por un grupo de amenazas motivado financieramente conocido como TA505.
“El grupo cambia con frecuencia sus estrategias de ataque de malware en respuesta a las tendencias mundiales de ciberdelincuencia”, firma suiza de ciberseguridad PRODAFT dijo en un informe compartido con The Hacker News. “Adopta de manera oportunista nuevas tecnologías para obtener influencia sobre las víctimas antes de que la industria de la ciberseguridad en general se dé cuenta”.
También rastreado bajo los nombres Evil Corp, Gold Drake, Dudear, Indrik Spider y SectorJ04, TA505 es un agresivo Sindicato ruso del cibercrimen detrás del infame troyano bancario Dridex y que se ha relacionado con una serie de campañas de ransomware en los últimos años.
También se dice que está relacionado con los ataques de Raspberry Robin que surgieron en septiembre de 2021, y se descubrieron similitudes entre el malware y Dridex.
Otras familias de malware notables asociadas con el grupo incluyen DefectuosoAmmyy, Red de bots de neutrinosy una puerta trasera con nombre en código Ayudante de serviciocuya variante es capaz de descargar un troyano de acceso remoto llamado FlawedGrace.
Se dice que el adversario utiliza el panel de control, llamado TeslaGun, para administrar el implante ServHelper, que funciona como un marco de comando y control (C2) para comandar las máquinas comprometidas.
Además, el panel ofrece la posibilidad de que los atacantes emitan comandos, sin mencionar el envío de un solo comando a todos los dispositivos de la víctima o configurar el panel para que un comando predefinido se ejecute automáticamente cuando se agrega una nueva víctima al panel.
“El panel TeslaGun tiene un diseño pragmático y minimalista. El tablero principal solo contiene datos de víctimas infectadas, una sección de comentarios genéricos para cada víctima y varias opciones para filtrar los registros de víctimas”, dijeron los investigadores.
Además de usar el panel, también se sabe que los actores de amenazas emplean una herramienta de protocolo de escritorio remoto (RDP) para conectarse manualmente a los sistemas objetivo a través de túneles RDP.
El análisis de PRODAFT de los datos de las víctimas de TeslaGun muestra que las campañas dirigidas y de phishing del grupo han alcanzado al menos 8160 objetivos desde julio de 2020. La mayoría de esas víctimas se encuentran en EE. UU. (3667), seguidas de Rusia (647), Brasil (483), Rumania (444) y el Reino Unido (359).
“Está claro que TA505 está buscando activamente usuarios minoristas o de banca en línea, incluidas billeteras criptográficas y cuentas de comercio electrónico”, señalaron los investigadores, citando comentarios hechos por el grupo adversario en el panel de TeslaGun.
Los hallazgos también se producen cuando el Departamento de Salud y Servicios Humanos de EE. UU. (HHS, por sus siglas en inglés) advirtió sobre las amenazas significativas que plantea el grupo para el sector de la salud a través de ataques de exfiltración de datos que tienen como objetivo robar propiedad intelectual y operaciones de ransomware.
“Evil Corp tiene un amplio conjunto de herramientas de alta capacidad a su disposición”, dijo el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) de la agencia. dijo en un aviso publicado a fines del mes pasado.
“Estos se desarrollan y mantienen internamente, pero a menudo se usan junto con malware básico, técnicas de vivir fuera de la tierra y herramientas de seguridad comunes que fueron diseñadas para evaluaciones de seguridad legítimas y legales”.