Secondo i ricercatori di Microsoft e di Prevailion, TA505 – noto anche come SectorJo4, un sofisticato gruppo avanzato di minacce persistenti che ha preso di mira società finanziarie e rivenditori in diversi paesi, tra cui gli Stati Uniti – è tornato dopo una pausa, con una campagna che utilizza redirector HTML per diffondere documenti dannosi di Excel.
In una serie di tweet, infatti, il team di Microsoft Security Intelligence ha recentemente rivelato dettagli su una campagna di phishing TA505 in corso. La nuova tecnica di utilizzo dei redirector HTML in quest’ultima campagna fornisce un ulteriore livello di offuscamento all’attacco, secondo Microsoft.
Secondo l’ultimo rapporto Microsoft, negli attacchi precedenti TA505 avrebbe distribuito malware al dispositivo di un bersaglio, utilizzando un documento allegato o un collegamento dannoso incorporato in un’e-mail.
“La nuova campagna utilizza redirector HTML allegati alle e-mail”, secondo Microsoft. “Una volta aperto, l’HTML porta al download di Dudear, un file Excel dannoso carico di macro che riduce il payload. Al contrario, le precedenti campagne di posta elettronica Dudear trasportavano il malware come allegato o utilizzavano URL dannosi.”
Questa volta, TA505 utilizza anche HTML scritto in diverse lingue e ha implementato un servizio di tracciamento IP per tracciare gli indirizzi delle macchine che scaricano il file Excel dannoso, secondo Microsoft.
Riguardo la diffusione, in passato, TA505 ha effettuato attacchi in Nord America, Asia, Africa e Sud America, colpendo le banche con malware backdoor per penetrare nelle reti.
Attualmente, come si evince dal rapporto pubblicato il 30 gennaio dai ricercatori di Prevailion – sulla base dei dati “Evidence of Compromise” raccolti tra dicembre 2019 e gennaio 2020 – le probabili vittime di TA505 sarebbero più di 1.000:
“I nostri dati di telemetria mostrano il targeting in sei continenti, distribuiti in una moltitudine di settori e paesi diversi”, ha dichiarato un post sul blog della società Prevailion scritto dai ricercatori Danny Adamitis e Ian Winslow. “L’area geografica più colpita, secondo la nostra telemetria, è stata l’Europa”, con il Nord America – in particolare gli Stati Uniti – la seconda regione più colpita, continua il post sul blog.
Tra le vittime specifiche c’erano almeno una compagnia elettrica con sede negli Stati Uniti, una rete di governo statale degli Stati Uniti e una delle 25 maggiori banche del mondo. Tra i verticali del settore, le istituzioni educative sono state le più colpite, ma anche le organizzazioni finanziarie / assicurative sono state fortemente colpite, tra cui quella che Prevailion ha descritto come “una concentrazione insolitamente grande di domini malevoli che colpiscono” le società finanziarie francesi.
https://twitter.com/MsftSecIntel/status/1222995250911703041
https://www.prevailion.com/insights/prevailion-charts-ta505-plunder-ransomware-criminals/