PureCrypter

Група киберпрестъпници атакува правителствени организации в Азиатско-Тихоокеанския регион (APAC) и Северна Америка с програма за изтегляне на зловреден софтуер, наречена PureCrypter. Киберпрестъпниците зад атаката са успели да проникнат в системите на тези организации и да съберат чувствителна информация или, в някои случаи, да държат системата им като заложник чрез използването на ransomware. Сериозността на атаката се усложнява от факта, че тези правителствени структури често съхраняват чувствителна и класифицирана информация, което ги прави основни цели за киберпрестъпниците.

Изследователите по сигурността откриха, че участниците в заплахата са използвали Discord, за да хостват първоначалния полезен товар и също така са компрометирали организация с нестопанска цел като начин да съберат допълнителни хостове, използвани в кампанията. Това означава, че нападателите са използвали легитимна платформа като Discord, за да разпределят първоначалния полезен товар на зловреден софтуер, което затруднява системите за сигурност да го открият и блокират. Злонамереният софтуер е известен с доставянето на няколко различни вида зловреден софтуер, включително Redline Stealer, AgentTesla , Eternity , Blackmoon и Philadelphia Ransomware .

PureCrypter е част от многоетапна верига от атаки

Атаката, която използва програмата за изтегляне на злонамерен софтуер PureCrypter, е инициирана с имейл, който съдържа URL адрес на приложението Discord. Този URL адрес води до проба на PureCrypter, която се съдържа в ZIP архив, защитен с парола. PureCrypter е програма за изтегляне на зловреден софтуер, която работи на базирани на .NET системи. Неговият оператор го отдава под наем на други киберпрестъпници с цел разпространение на различни видове зловреден софтуер. След като PureCrypter бъде изпълнен, той извлича и доставя полезния товар от следващия етап от сървър за командване и управление (C2, C&C). В този конкретен случай сървърът за командване и контрол, използван от участниците в заплахата, беше компрометираният сървър на организация с нестопанска цел.

Извадката, анализирана от изследователите, беше AgentTesla, вид зловреден софтуер, който събира информация от компютъра на жертвата. Веднъж стартиран, AgentTesla установява връзка с базиран в Пакистан FTP сървър, за да изпрати събраните данни. Интересното е, че участниците в заплахата не са създали свой собствен FTP сървър, а по-скоро са използвали изтекли идентификационни данни, за да поемат контрола върху съществуващ. Използвайки вече компрометиран сървър, те намаляват рисковете от идентифициране и минимизират тяхното проследяване.

AgentTesla остава заплашителен инструмент за киберпрестъпници

AgentTesla е вид .NET злонамерен софтуер, който е бил използван от киберпрестъпниците през последните осем години, като употребата му е достигнала пика си в края на 2020 г. и началото на 2021 г. Въпреки възрастта си, AgentTesla остава изключително способна и рентабилна задна вратичка, която непрекъснато развивани и усъвършенствани през годините.

Една от ключовите възможности на AgentTesla е способността да регистрира натиснатите клавиши на жертвата, което позволява на киберпрестъпниците да улавят чувствителна информация, като например пароли. Зловреден софтуер може също така да събира пароли, които са записани във FTP клиенти, уеб браузъри или имейл клиенти. Освен това AgentTesla може да заснеме екранни снимки на работния плот на жертвата, потенциално разкривайки поверителна информация. Той също така може да получи достъп и да прихване всякакви данни, които се копират в клипборда на системата, включително текстове, пароли и данни за кредитни карти. Веднъж събрани, данните могат да бъдат ексфилтрирани към сървъра за командване и контрол (C2) чрез FTP или SMTP.

При атаките на PureCrypter, участниците в заплахата са използвали техника, наречена „изпълване на процеса“, за да инжектират полезния товар на AgentTesla в легитимен процес, наречен „cvtres.exe“. Тази техника помага да се избегне откриването от инструменти за сигурност.

За да защити своите комуникации със сървъра C2 и конфигурационните файлове от откриване от инструментите за наблюдение на мрежовия трафик, AgentTesla използва XOR криптиране. Този метод на криптиране затруднява системите за сигурност да открият комуникацията на злонамерения софтуер със сървъра C2, което го прави предизвикателна заплаха за откриване и смекчаване.