PureCrypter

En gruppe cyberkriminelle har angrebet regeringsenheder i Asien-Stillehavsområdet (APAC) og Nordamerika med en malware-downloader kaldet PureCrypter. De cyberkriminelle bag angrebet var i stand til at infiltrere disse organisationers systemer og indsamle følsomme oplysninger eller i nogle tilfælde holde deres system som gidsel gennem brug af ransomware. Alvoren af angrebet forværres af det faktum, at disse statslige enheder ofte opbevarer følsomme og klassificerede oplysninger, hvilket gør dem til primære mål for cyberkriminelle.

Sikkerhedsforskere fandt ud af, at trusselsaktørerne udnyttede Discord til at være vært for den indledende nyttelast og også kompromitterede en non-profit organisation som en måde at skaffe yderligere værter brugt i kampagnen. Det betyder, at angriberne brugte en legitim platform som Discord til at distribuere den indledende nyttelast af malwaren, hvilket gjorde det vanskeligt for sikkerhedssystemer at opdage og blokere den. Malwaren er kendt for at levere flere forskellige malware-stammer, herunder Redline Stealer, AgentTesla , Eternity , Blackmoon og Philadelphia Ransomware .

PureCrypter er en del af en Multi-Stage Attack Chain

Angrebet, der bruger PureCrypter malware downloader, startes med en e-mail, der indeholder en Discord-applikations-URL. Denne URL fører til et PureCrypter-eksempel, der er indeholdt i et password-beskyttet ZIP-arkiv. PureCrypter er en malware-downloader, der fungerer på .NET-baserede systemer. Dets operatør udlejer det til andre cyberkriminelle med det formål at distribuere forskellige typer malware. Når PureCrypter er udført, henter og leverer den næste trins nyttelast fra en Command-and-Control-server (C2, C&C). I dette specifikke tilfælde var den kommando- og kontrolserver, der blev brugt af trusselsaktørerne, den kompromitterede server for en non-profit organisation.

Prøven analyseret af forskerne var AgentTesla, en type malware, der indsamler oplysninger fra ofrets computer. Når den er lanceret, etablerer AgentTesla en forbindelse til en Pakistan-baseret FTP-server for at sende de indsamlede data. Det interessante er, at trusselsaktørerne ikke oprettede deres egen FTP-server, men snarere brugte lækkede legitimationsoplysninger til at tage kontrol over en eksisterende. Ved at bruge en allerede kompromitteret server reducerer de risikoen for at blive identificeret og minimerer deres spor.

AgentTesla forbliver et truende cyberkriminelt værktøj

AgentTesla er en type .NET-malware, der er blevet brugt af cyberkriminelle i de sidste otte år, hvor brugen toppede i slutningen af 2020 og begyndelsen af 2021. På trods af sin alder forbliver AgentTesla en yderst dygtig og omkostningseffektiv bagdør, der har været konstant udviklet og forbedret gennem årene.

En af AgentTeslas nøglefunktioner er evnen til at logge ofrets tastetryk, hvilket gør det muligt for cyberkriminelle at fange følsom information, såsom adgangskoder. Malwaren kan også indsamle adgangskoder, der er gemt i FTP-klienter, webbrowsere eller e-mail-klienter. Derudover kan AgentTesla fange skærmbilleder af ofrets skrivebord, hvilket potentielt afslører fortrolige oplysninger. Det kan også få adgang til og opsnappe alle data, der er kopieret til systemets udklipsholder, inklusive tekster, adgangskoder og kreditkortoplysninger. Når de er indsamlet, kan dataene eksfiltreres til Command and Control (C2) serveren via FTP eller SMTP.

I PureCrypter-angrebene brugte trusselsaktørerne en teknik kaldet "process hollowing" til at injicere AgentTesla-nyttelasten i en legitim proces kaldet 'cvtres.exe'. Denne teknik hjælper med at undgå registrering fra sikkerhedsværktøjer.

For at sikre, at dets kommunikation med C2-serveren og konfigurationsfiler ikke bliver opdaget af netværkstrafikovervågningsværktøjer, bruger AgentTesla XOR-krypteringen. Denne krypteringsmetode gør det vanskeligt for sikkerhedssystemer at opdage malwarens kommunikation med C2-serveren, hvilket gør det til en udfordrende trussel at opdage og afbøde.