بدافزار AceCryptor
موارد جدیدی از عفونت مرتبط با ابزار AceCryptor ظاهر شده است که نشان دهنده روند نگران کننده ای است. این ابزار که توسط هکرها به دلیل توانایی آن در استتار بدافزارها و نفوذ به سیستمهایی که توسط سیستمهای دفاع ضد بدافزار مرسوم شناسایی نشدهاند، مورد علاقه هکرها قرار گرفته است، در یک کمپین با هدف سازمانها در سراسر اروپا استفاده شده است. محققانی که سالها فعالیتهای AceCryptor را رصد کردهاند، تغییری متمایز را در این کمپین اخیر مشاهده میکنند. برخلاف نمونههای قبلی، مهاجمان دامنه کدهای دستکاری شده را که در اکسپلویتهای خود قرار داده شدهاند، گسترش دادهاند و تهدیدهای شدیدی را برای نهادهای هدف ایجاد میکنند.
AceCryptor برای ارسال تهدیدات مضر در مرحله آخر استفاده می شود
AceCryptor معمولاً با بدافزارهایی مانند Remcos یا Rescoms جفت میشود، که به عنوان ابزارهای نظارت از راه دور قوی که اغلب در حملات علیه سازمانها در اوکراین استفاده میشوند، استفاده میشوند. در کنار Remcos و SmokeLoader معروف، محققان اکنون AceCryptor را مشاهده کردهاند که گونههای بدافزار دیگری از جمله انواع باجافزار STOP/Djvu و Vidar Stealer را منتشر میکند.
علاوه بر این، محققان به الگوهای متمایز در کشورهای مورد نظر اشاره کرده اند. در حالی که SmokeLoader در حملات در اوکراین شرکت داشت، در حوادثی در لهستان، اسلواکی، بلغارستان و صربستان از Remcos استفاده شد.
در کمپینهای سازماندهی شده دقیق، AceCryptor برای هدف قرار دادن چندین کشور اروپایی، با هدف استخراج اطلاعات حساس یا ایجاد دسترسی اولیه به شرکتهای مختلف، مورد استفاده قرار گرفته است. توزیع بدافزار در این حملات اغلب از طریق ایمیلهای اسپم صورت میگرفت که برخی از آنها بهطور قابلتوجهی متقاعدکننده بودند. گاهی اوقات، حساب های ایمیل قانونی ربوده شده و برای ارسال این پیام های گمراه کننده مورد سوء استفاده قرار می گیرند.
هدف اصلی از آخرین عملیات، به دست آوردن اعتبارنامه های ایمیل و مرورگر است که برای حملات بیشتر علیه شرکت های مورد هدف در نظر گرفته شده است. قابل ذکر است، اکثر حوادث ثبت شده AceCryptor به عنوان نقطه اولیه سازش در این حملات بوده است.
اهداف AceCryptor در طول سال 2023 تغییر کرده است
در شش ماهه سال 2023، کشورهایی که عمدتاً تحت تأثیر بدافزارهای بستهبندی شده با AceCryptor قرار گرفتند، پرو، مکزیک، مصر و ترکیه بودند و پرو بار 4700 حمله را متحمل شد. با این حال، در یک تغییر قابل توجه در نیمه دوم سال، هکرها تمرکز خود را به سمت کشورهای اروپایی، به ویژه لهستان، که بیش از 26000 حمله را تحمل کرد، تغییر دادند. اوکراین، اسپانیا و صربستان نیز در معرض هزاران حمله قرار گرفتند.
در نیمه دوم سال، Rescoms به عنوان خانواده بدافزار غالب که از طریق AceCryptor توزیع شده بود، با بیش از 32000 حادثه ظاهر شد. لهستان بیش از نیمی از این اتفاقات را به خود اختصاص داده است و پس از آن صربستان، اسپانیا، بلغارستان و اسلواکی قرار دارند.
حملاتی که کسبوکارهای لهستانی را هدف قرار میدهند، موضوعات مشابهی داشتند، که اغلب به عنوان پیشنهادات B2B مربوط به شرکتهای قربانی دیده میشدند. هکرها از نام های واقعی شرکت لهستانی و هویت کارمندان موجود در ایمیل های خود برای اعتبار بخشیدن استفاده کردند. انگیزه های پشت این حملات همچنان مبهم است. مشخص نیست که آیا هکرها قصد دارند از اعتبارنامه های سرقت شده برای استفاده شخصی سوء استفاده کنند یا آنها را در اختیار سایر عوامل تهدید قرار دهند.
در حال حاضر، شواهد موجود نمی توانند کمپین های حمله را به طور قطعی به منبع خاصی نسبت دهند. با این حال، شایان ذکر است که هکرهای وابسته به دولت روسیه به طور مکرر از Remcos و SmokeLoader در عملیات خود استفاده کرده اند.