PureCrypter

Skupina kyberzločinců útočí na vládní subjekty v asijsko-pacifických (APAC) a severoamerických regionech pomocí stahovače malwaru s názvem PureCrypter. Kyberzločinci za útokem byli schopni infiltrovat systémy těchto organizací a shromažďovat citlivé informace nebo v některých případech držet jejich systém jako rukojmí pomocí ransomwaru. Závažnost útoku je umocněna skutečností, že tyto vládní subjekty často uchovávají citlivé a utajované informace, což z nich dělá hlavní cíle kyberzločinců.

Bezpečnostní výzkumníci zjistili, že aktéři hrozeb zneužili Discord k hostování počátečního nákladu a také kompromitovali neziskovou organizaci jako způsob, jak získat další hostitele použité v kampani. To znamená, že útočníci použili legitimní platformu, jako je Discord, k distribuci počátečního užitečného zatížení malwaru, což bezpečnostním systémům znesnadnilo jeho detekci a blokování. Malware je známý tím, že přináší několik různých kmenů malwaru, včetně Redline Stealer, AgentTesla , Eternity , Blackmoon a Philadelphia Ransomware .

PureCrypter je součástí vícefázového řetězce útoků

Útok, který využívá stahovač malwaru PureCrypter, je zahájen e-mailem, který obsahuje adresu URL aplikace Discord. Tato adresa URL vede k ukázce PureCrypter, která je obsažena v archivu ZIP chráněném heslem. PureCrypter je stahovač malwaru, který funguje na systémech založených na .NET. Jeho provozovatel jej pronajímá dalším kyberzločincům za účelem distribuce různých druhů malwaru. Jakmile je PureCrypter spuštěn, načte a doručí užitečné zatížení další fáze ze serveru Command-and-Control (C2, C&C). V tomto konkrétním případě byl server velení a řízení používaný aktéry hrozby kompromitovaným serverem neziskové organizace.

Vzorek analyzovaný výzkumníky byl AgentTesla, typ malwaru, který shromažďuje informace z počítače oběti. Po spuštění AgentTesla naváže spojení s pákistánským FTP serverem pro odeslání shromážděných dat. Zajímavé je, že aktéři hrozeb si nezřídili svůj vlastní FTP server, ale spíše použili uniklé přihlašovací údaje k převzetí kontroly nad existujícím. Použitím již kompromitovaného serveru snižují riziko, že budou identifikováni, a minimalizují jejich sledování.

Agent Tesla zůstává hrozivým nástrojem kyberzločinců

AgentTesla je typ malwaru .NET, který kyberzločinci používají posledních osm let, přičemž jeho využití dosáhlo vrcholu koncem roku 2020 a začátkem roku 2021. Navzdory svému stáří zůstává AgentTesla vysoce výkonným a nákladově efektivním zadním vrátkem, které se neustále se v průběhu let vyvíjel a zdokonaloval.

Jednou z klíčových schopností AgentTesla je schopnost zaznamenávat stisknuté klávesy oběti, což umožňuje kyberzločincům zachytit citlivé informace, jako jsou hesla. Malware může také shromažďovat hesla, která jsou uložena v FTP klientech, webových prohlížečích nebo e-mailových klientech. Kromě toho může AgentTesla pořizovat snímky plochy oběti, které mohou odhalit důvěrné informace. Může také přistupovat a zachytit jakákoli data, která jsou zkopírována do schránky systému, včetně textů, hesel a údajů o kreditních kartách. Po shromáždění mohou být data exfiltrována na server Command and Control (C2) přes FTP nebo SMTP.

Při útocích PureCrypter použili aktéři hrozeb techniku zvanou „process hollowing“, aby vložili užitečné zatížení AgentTesla do legitimního procesu zvaného „cvtres.exe“. Tato technika pomáhá vyhnout se detekci z bezpečnostních nástrojů.

Aby byla zajištěna komunikace se serverem C2 a konfigurační soubory před detekcí nástroji pro monitorování síťového provozu, používá AgentTesla šifrování XOR. Tato metoda šifrování znesnadňuje bezpečnostním systémům detekovat komunikaci malwaru se serverem C2, což z něj činí náročnou hrozbu pro detekci a zmírnění.