Cybersecurity, TA505 si rilancia e distribuisce una nuova variante di FlawedGrace

I ricercatori di Proofpoint hanno rilevato nuove campagne malware gestite dal gruppo TA505, noto per essere motivato da obiettivi economici.

Le prime campagne osservate da Proofpoint nel settembre 2021 mostravano un volume relativamente ridotto, con diverse migliaia di email a invio, e distribuivano allegati Excel pericolosi. Tra fine settembre e inizio ottobre 2021 la situazione è cambiata, e TA505 ha iniziato a inviare volumi di email più elevati, da decine a centinaia di migliaia, a più settori. Inoltre, ha iniziato a sfruttare campagne email basate sia su URL che su allegati, diversificando le aree target principali, passate dal Nord America ai paesi di lingua tedesca, tra cui Germania e Austria.

Molte delle campagne, specialmente quelle di grande volume, hanno forti somiglianze con la storica attività di TA505 del 2019 e 2020. I punti in comune includono schemi simili di denominazione dei domini, esche email ed Excel e la distribuzione del RAT FlawedGrace. Presentano anche alcuni nuovi sviluppi degni di nota, come le fasi del loader intermedio riorganizzate con script in Rebol e KiXtart, utilizzati in sostituzione del downloader Get2, in precedenza molto noto. I nuovi downloader eseguono funzionalità simili di ricognizione e di trazione nelle fasi successive. Infine, c’è una versione aggiornata di FlawedGrace.

La campagna in breve

  • TA505, gruppo cybercriminale noto e avanzato, è tornato a distribuire grandi quantità di email pericolose, colpendo una varietà di settori differenti.
  • I nuovi strumenti di cui questo gruppo si avvale includono KiXtart Loader, MirrorBlast loader, una variante aggiornata di FlawedGrace e allegati Excel pericolosi
  • Una campagna specifica ha preso di mira i paesi di lingua tedesca, in particolare Germania e Austria.
  • Le campagne mostrano molti elementi simili con quelle di TA505 del 2019 e 2020.