PureCrypter

گروهی از مجرمان سایبری با دانلودر بدافزاری به نام PureCrypter به نهادهای دولتی در منطقه آسیا و اقیانوسیه (APAC) و آمریکای شمالی حمله می‌کنند. مجرمان سایبری پشت این حمله توانستند به سیستم این سازمان ها نفوذ کرده و اطلاعات حساس را جمع آوری کنند یا در برخی موارد با استفاده از باج افزار سیستم خود را گروگان نگه دارند. شدت حمله با این واقعیت تشدید می شود که این نهادهای دولتی اغلب اطلاعات حساس و طبقه بندی شده را ذخیره می کنند و آنها را به اهداف اصلی مجرمان سایبری تبدیل می کند.

محققان امنیتی دریافتند که عاملان تهدید از Discord برای میزبانی بار اولیه سوء استفاده کردند و همچنین یک سازمان غیرانتفاعی را به عنوان راهی برای جمع آوری میزبان های اضافی مورد استفاده در کمپین به خطر انداختند. این بدان معناست که مهاجمان از یک پلتفرم قانونی مانند Discord برای توزیع بار اولیه بدافزار استفاده کرده اند و سیستم های امنیتی را برای شناسایی و مسدود کردن آن دشوار می کند. این بدافزار به دلیل ارائه چندین نوع بدافزار مختلف از جمله Redline Stealer، AgentTesla ، Eternity ، Blackmoon و باج افزار فیلادلفیا شناخته شده است.

PureCrypter بخشی از یک زنجیره حمله چند مرحله ای است

حمله ای که از دانلود کننده بدافزار PureCrypter استفاده می کند با ایمیلی که حاوی URL برنامه Discord است آغاز می شود. این URL به یک نمونه PureCrypter منتهی می شود که در یک آرشیو ZIP محافظت شده با رمز عبور قرار دارد. PureCrypter یک دانلود کننده بدافزار است که بر روی سیستم های مبتنی بر دات نت کار می کند. اپراتور آن را به منظور توزیع انواع بدافزار به مجرمان سایبری دیگر اجاره می دهد. هنگامی که PureCrypter اجرا شد، بار مرحله بعدی را از یک سرور Command-and-Control (C2, C&C) واکشی و تحویل می‌دهد. در این مورد خاص، سرور فرماندهی و کنترل مورد استفاده توسط عوامل تهدید، سرور در معرض خطر یک سازمان غیرانتفاعی بود.

نمونه ای که توسط محققان مورد تجزیه و تحلیل قرار گرفت، AgentTesla بود، نوعی بدافزار که اطلاعات را از رایانه قربانی جمع آوری می کند. پس از راه اندازی، AgentTesla یک اتصال به یک سرور FTP مستقر در پاکستان برای ارسال داده های جمع آوری شده برقرار می کند. نکته جالب این است که عوامل تهدید سرور FTP خود را راه‌اندازی نکرده‌اند، بلکه از اعتبارنامه‌های لو رفته برای کنترل سرور موجود استفاده می‌کنند. با استفاده از سروری که قبلاً در معرض خطر قرار گرفته است، آنها خطرات شناسایی را کاهش داده و ردیابی آنها را به حداقل می‌رسانند.

AgentTesla همچنان یک ابزار سایبری تهدید کننده است

AgentTesla نوعی بدافزار دات نت است که در هشت سال گذشته توسط مجرمان سایبری استفاده شده است و استفاده از آن در اواخر سال 2020 و اوایل سال 2021 به اوج خود رسیده است. در طول سالها توسعه یافته و بهبود یافته است.

یکی از قابلیت‌های کلیدی AgentTesla، امکان ثبت ضربه‌های کلید قربانی است که به مجرمان سایبری اجازه می‌دهد اطلاعات حساسی مانند رمز عبور را ضبط کنند. این بدافزار همچنین ممکن است گذرواژه هایی را که در کلاینت های FTP، مرورگرهای وب یا کلاینت های ایمیل ذخیره شده اند جمع آوری کند. علاوه بر این، AgentTesla می تواند اسکرین شات هایی از دسکتاپ قربانی بگیرد که به طور بالقوه اطلاعات محرمانه را فاش می کند. همچنین ممکن است به هر داده ای که در کلیپ بورد سیستم کپی می شود، از جمله متون، گذرواژه ها و جزئیات کارت اعتباری دسترسی داشته باشد و آنها را رهگیری کند. پس از جمع آوری، داده ها می توانند از طریق FTP یا SMTP به سرور Command and Control (C2) منتقل شوند.

در حملات PureCrypter، عوامل تهدید از تکنیکی به نام «حفره کردن فرآیند» برای تزریق بار AgentTesla به فرآیند قانونی به نام «cvtres.exe» استفاده کردند. این تکنیک کمک می کند تا از تشخیص از طریق ابزارهای امنیتی فرار کنید.

برای ایمن نگه داشتن ارتباطات خود با سرور C2 و فایل های پیکربندی توسط ابزارهای نظارت بر ترافیک شبکه، AgentTesla از رمزگذاری XOR استفاده می کند. این روش رمزگذاری تشخیص ارتباط بدافزار با سرور C2 را برای سیستم‌های امنیتی دشوار می‌کند و آن را به یک تهدید چالش برانگیز برای شناسایی و کاهش آن تبدیل می‌کند.