PureCrypter

Rühm küberkurjategijaid on rünnanud valitsusüksusi Aasia ja Vaikse ookeani (APAC) ja Põhja-Ameerika piirkondades pahavara allalaadijaga nimega PureCrypter. Rünnaku taga olnud küberkurjategijad suutsid tungida nende organisatsioonide süsteemidesse ja koguda tundlikku teavet või mõnel juhul hoida nende süsteemi lunavara abil pantvangis. Rünnaku tõsidust suurendab asjaolu, et need valitsusasutused salvestavad sageli tundlikku ja salastatud teavet, muutes need küberkurjategijate peamisteks sihtmärkideks.

Turvateadlased leidsid, et ohus osalejad kasutasid Discordi ära esialgse kasuliku koormuse majutamiseks ja ohustasid ka mittetulundusühingut, et hankida kampaanias kasutatud täiendavaid hoste. See tähendab, et ründajad kasutasid pahavara esialgse kasuliku koormuse levitamiseks seaduslikku platvormi nagu Discord, muutes turvasüsteemidel selle tuvastamise ja blokeerimise keeruliseks. Pahavara on tuntud mitme erineva pahavara tüve edastamise poolest, sealhulgas Redline Stealer, AgentTesla , Eternity , Blackmoon ja Philadelphia Ransomware .

PureCrypter on osa mitmeastmelisest ründeahelast

Rünnak, mis kasutab PureCrypteri pahavara allalaadijat, algatatakse meiliga, mis sisaldab rakenduse Discord URL-i. See URL viib PureCrypteri näidisele, mis asub parooliga kaitstud ZIP-arhiivis. PureCrypter on pahavara allalaadija, mis töötab .NET-põhistes süsteemides. Selle operaator rendib seda teistele küberkurjategijatele erinevat tüüpi pahavara levitamiseks. Kui PureCrypter on käivitatud, hangib ja edastab see järgmise etapi kasuliku koormuse Command-and-Control (C2, C&C) serverist. Sel konkreetsel juhul oli ohus osalejate kasutatav käsu- ja juhtimisserver mittetulundusühingu ohustatud server.

Uurijate analüüsitud valimiks oli AgentTesla, teatud tüüpi pahavara, mis kogub teavet ohvri arvutist. Pärast käivitamist loob AgentTesla kogutud andmete saatmiseks ühenduse Pakistanis asuva FTP-serveriga. Huvitav on see, et ohus osalejad ei seadistanud oma FTP-serverit, vaid kasutasid lekkinud mandaate olemasoleva serveri üle kontrolli võtmiseks. Kasutades juba ohustatud serverit, vähendavad nad tuvastamise ohtu ja minimeerivad nende jälgi.

AgentTesla on endiselt ähvardav küberkurjategija tööriist

AgentTesla on teatud tüüpi .NET-i pahavara, mida küberkurjategijad on kasutanud viimased kaheksa aastat. Selle kasutuse tippaeg on 2020. aasta lõpus ja 2021. aasta alguses. Vaatamata oma vanusele on AgentTesla endiselt väga võimekas ja kulutõhus tagauks, mida on pidevalt kasutatud aastate jooksul arenenud ja täiustatud.

Üks AgentTesla põhivõimalusi on võimalus registreerida ohvri klahvivajutused, võimaldades küberkurjategijatel tabada tundlikku teavet, näiteks paroole. Pahavara võib koguda ka FTP-klientidesse, veebibrauseritesse või meiliklientidesse salvestatud paroole. Lisaks saab AgentTesla jäädvustada ekraanipilte ohvri töölauast, mis võib paljastada konfidentsiaalset teavet. Samuti võib see juurde pääseda ja pealt kuulata mis tahes andmeid, mis on kopeeritud süsteemi lõikepuhvrisse, sealhulgas tekstid, paroolid ja krediitkaardi andmed. Pärast kogumist saab andmed FTP või SMTP kaudu käsu- ja juhtimisserverisse (C2) eksfiltreerida.

PureCrypteri rünnakutes kasutasid ohus osalejad tehnikat, mida nimetatakse "protsessi õõnestamiseks", et süstida AgentTesla kasulik koormus seaduslikku protsessi nimega "cvtres.exe". See meetod aitab vältida turvatööriistade tuvastamist.

Selleks, et võrguliikluse jälgimise tööriistad ei tuvastaks oma sidet C2-serveriga ja konfiguratsioonifaile, kasutab AgentTesla XOR-krüptimist. See krüpteerimismeetod raskendab turvasüsteemidel pahavara sidet C2 serveriga tuvastada, muutes selle tuvastamise ja leevendamise keeruliseks ohuks.