Шкідливе програмне забезпечення AceCryptor

З’явилися численні нові випадки зараження, пов’язані з інструментом AceCryptor, що вказує на тривожну тенденцію. Цей інструмент, який люблять хакери за його здатність маскувати зловмисне програмне забезпечення та проникати в системи, непомічені звичайними засобами захисту від зловмисного програмного забезпечення, використовувався в кампанії, спрямованій на організації по всій Європі. Дослідники, які роками спостерігали за діяльністю AceCryptor, помітили помітні зміни в цій нещодавній кампанії. На відміну від попередніх випадків, зловмисники розширили діапазон підробленого коду, який міститься в їхніх експлойтах, створюючи підвищену загрозу для цільових об’єктів.

AceCryptor використовується для доставки шкідливих загроз на пізній стадії

AceCryptor зазвичай поєднується зі зловмисним програмним забезпеченням, таким як Remcos або Rescoms , яке є потужним інструментом віддаленого спостереження, який часто використовують для атак на організації в Україні. Окрім Remcos і відомого SmokeLoader, дослідники помітили, що AceCryptor поширює інші види зловмисного програмного забезпечення, зокрема варіанти STOP/Djvu Ransomware і Vidar Stealer .

Крім того, дослідники помітили чіткі закономірності в цільових країнах. Хоча SmokeLoader брав участь в атаках в Україні, в інцидентах у Польщі, Словаччині, Болгарії та Сербії використовувався Remcos.

У ретельно організованих кампаніях AceCryptor було використано для націлювання на численні європейські країни з метою отримання конфіденційної інформації або встановлення початкового доступу до різних компаній. Розповсюдження зловмисного програмного забезпечення в цих атаках часто відбувалося через спам, деякі з яких були надзвичайно переконливими; час від часу законні облікові записи електронної пошти викрадали та зловживали для надсилання таких оманливих повідомлень.

Основною метою останньої операції є отримання облікових даних електронної пошти та браузера для подальших нападів на цільові компанії. Примітно, що більшість зареєстрованих інцидентів AceCryptor слугували початковою точкою компрометації в цих атаках.

Цілі AceCryptor змінювалися протягом 2023 року

За шість місяців 2023 року зловмисне програмне забезпечення, наповнене AceCryptor, найбільше постраждало від Перу, Мексики, Єгипту та Туреччини, причому на Перу припало 4700 атак. Однак у другій половині року хакери переорієнтували свою увагу на європейські країни, зокрема на Польщу, яка зазнала понад 26 000 атак. Багатотисячні напади зазнали також Україна, Іспанія та Сербія.

За другу половину року Rescoms стала переважаючою сім’єю шкідливих програм, що розповсюджуються через AceCryptor, із понад 32 000 інцидентів. Більше половини цих випадків припадає на Польщу, за нею йдуть Сербія, Іспанія, Болгарія та Словаччина.

Атаки на польські підприємства мали схожу тематику, часто маскуючись під B2B-пропозиції, що стосуються постраждалих компаній. Хакери використовували справжні польські назви компаній і існуючих ідентифікацій співробітників у своїх електронних листах, щоб надати довіри. Мотиви цих нападів залишаються неоднозначними; невідомо, чи мають на меті хакери використовувати вкрадені облікові дані для особистого використання чи продавати їх іншим загрозам.

На даний момент наявні докази не дозволяють остаточно віднести кампанії нападів до конкретного джерела. Однак варто зазначити, що хакери, пов’язані з російським урядом, неодноразово використовували Remcos і SmokeLoader у своїх операціях.