Nuevas campañas atribuidas a grupo TA505
- Publicado: 04/09/2019
- Importancia: Media
- Recursos afectados
TA505 es un grupo que previamente fue analizado por el equipo de Cyber Threat Intelligence del CSIRT Financiero, desde entonces ha estado muy activo en los meses de junio, julio y agosto. Ha dirigido múltiples campañas especialmente enfocadas al sector financiero, aunque no ha sido el único sector afectado. Sin embargo, están apuntado al menos a 7 países diferentes y han incluido en sus TTPs pequeñas variantes en el uso de FlawedAmmyy RAT y ServHelper.
Actualmente se sabe que el grupo tomó como nuevas víctimas a países como Turquía, Serbia, Rumania, Corea de Sur, Canadá, República Checa y Hungría. También ha surgido una campaña dirigida contra China que falsificaba correos electrónicos con temáticas de notificaciones de FedEx. Si bien es cierto que esta campaña en particular no coincidía con los TTPs de TA505 y, por lo tanto, es muy probable que el grupo tenga a la venta en la dark web ServHelper para otros grupos cibercriminales a modo de crime-as-a-service.
Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]
- Etiquetas