Хакеры из группировки TA505 совершенствуют бэкдор ServHelper для кибератак

Эксперты компании Proofpoint отслеживают деятельность хакер-группировки TA505, которая постоянно совершенствует инструменты для вторжения в системы банков и коммерческих организаций. На счету преступной группировки распространение банкера Drirex и шифровальщика Locky, шантаж, связанный с Philadelphia и GlobeImposter.

С ноября месяца хакеры перешли с кибератаками на банковские институты, коммерческие организации с использованием e–mail рассылки с вложенными файлами Microsoft Word, Microsoft Publisher и PDF.

В ходе изучения деятельности хакеров, специалисты пришли к выводу, что их деятельность сейчас не связана с ботнетом Necurs. В настоящее время киберпреступники используют троянские программы с удалённым доступом.

Вложенные документы инициировали загрузку разработанного на Delphi бэкдора ServHelper, нацеленного на Windows. Так ServHelper использовался для формирования SSH-тоннелей и обеспечения доступа к RDP-порту 3389.

Специалисты предупреждают, что злоумышленники постоянно актуализируют бэкдор и для каждой атаки применяют свой вариант ServHelper.

Эксперты в декабре предупредили, что очередными целями хакеров могут стать 4700 устройств,  криптокошельки и приложения для майнинга Эфира.

Источник: CoinForToday