بدافزار AceCryptor

موارد جدیدی از عفونت مرتبط با ابزار AceCryptor ظاهر شده است که نشان دهنده روند نگران کننده ای است. این ابزار که توسط هکرها به دلیل توانایی آن در استتار بدافزارها و نفوذ به سیستم‌هایی که توسط سیستم‌های دفاع ضد بدافزار مرسوم شناسایی نشده‌اند، مورد علاقه هکرها قرار گرفته است، در یک کمپین با هدف سازمان‌ها در سراسر اروپا استفاده شده است. محققانی که سال‌ها فعالیت‌های AceCryptor را رصد کرده‌اند، تغییری متمایز را در این کمپین اخیر مشاهده می‌کنند. برخلاف نمونه‌های قبلی، مهاجمان دامنه کدهای دستکاری شده را که در اکسپلویت‌های خود قرار داده شده‌اند، گسترش داده‌اند و تهدیدهای شدیدی را برای نهادهای هدف ایجاد می‌کنند.

AceCryptor برای ارسال تهدیدات مضر در مرحله آخر استفاده می شود

AceCryptor معمولاً با بدافزارهایی مانند Remcos یا Rescoms جفت می‌شود، که به عنوان ابزارهای نظارت از راه دور قوی که اغلب در حملات علیه سازمان‌ها در اوکراین استفاده می‌شوند، استفاده می‌شوند. در کنار Remcos و SmokeLoader معروف، محققان اکنون AceCryptor را مشاهده کرده‌اند که گونه‌های بدافزار دیگری از جمله انواع باج‌افزار STOP/Djvu و Vidar Stealer را منتشر می‌کند.

علاوه بر این، محققان به الگوهای متمایز در کشورهای مورد نظر اشاره کرده اند. در حالی که SmokeLoader در حملات در اوکراین شرکت داشت، در حوادثی در لهستان، اسلواکی، بلغارستان و صربستان از Remcos استفاده شد.

در کمپین‌های سازمان‌دهی شده دقیق، AceCryptor برای هدف قرار دادن چندین کشور اروپایی، با هدف استخراج اطلاعات حساس یا ایجاد دسترسی اولیه به شرکت‌های مختلف، مورد استفاده قرار گرفته است. توزیع بدافزار در این حملات اغلب از طریق ایمیل‌های اسپم صورت می‌گرفت که برخی از آنها به‌طور قابل‌توجهی متقاعدکننده بودند. گاهی اوقات، حساب های ایمیل قانونی ربوده شده و برای ارسال این پیام های گمراه کننده مورد سوء استفاده قرار می گیرند.

هدف اصلی از آخرین عملیات، به دست آوردن اعتبارنامه های ایمیل و مرورگر است که برای حملات بیشتر علیه شرکت های مورد هدف در نظر گرفته شده است. قابل ذکر است، اکثر حوادث ثبت شده AceCryptor به عنوان نقطه اولیه سازش در این حملات بوده است.

اهداف AceCryptor در طول سال 2023 تغییر کرده است

در شش ماهه سال 2023، کشورهایی که عمدتاً تحت تأثیر بدافزارهای بسته‌بندی شده با AceCryptor قرار گرفتند، پرو، مکزیک، مصر و ترکیه بودند و پرو بار 4700 حمله را متحمل شد. با این حال، در یک تغییر قابل توجه در نیمه دوم سال، هکرها تمرکز خود را به سمت کشورهای اروپایی، به ویژه لهستان، که بیش از 26000 حمله را تحمل کرد، تغییر دادند. اوکراین، اسپانیا و صربستان نیز در معرض هزاران حمله قرار گرفتند.

در نیمه دوم سال، Rescoms به عنوان خانواده بدافزار غالب که از طریق AceCryptor توزیع شده بود، با بیش از 32000 حادثه ظاهر شد. لهستان بیش از نیمی از این اتفاقات را به خود اختصاص داده است و پس از آن صربستان، اسپانیا، بلغارستان و اسلواکی قرار دارند.

حملاتی که کسب‌وکارهای لهستانی را هدف قرار می‌دهند، موضوعات مشابهی داشتند، که اغلب به عنوان پیشنهادات B2B مربوط به شرکت‌های قربانی دیده می‌شدند. هکرها از نام های واقعی شرکت لهستانی و هویت کارمندان موجود در ایمیل های خود برای اعتبار بخشیدن استفاده کردند. انگیزه های پشت این حملات همچنان مبهم است. مشخص نیست که آیا هکرها قصد دارند از اعتبارنامه های سرقت شده برای استفاده شخصی سوء استفاده کنند یا آنها را در اختیار سایر عوامل تهدید قرار دهند.

در حال حاضر، شواهد موجود نمی توانند کمپین های حمله را به طور قطعی به منبع خاصی نسبت دهند. با این حال، شایان ذکر است که هکرهای وابسته به دولت روسیه به طور مکرر از Remcos و SmokeLoader در عملیات خود استفاده کرده اند.