PureCrypter

Ryhmä kyberrikollisia on hyökännyt hallinnollisiin yksiköihin Aasian ja Tyynenmeren (APAC) ja Pohjois-Amerikan alueilla PureCrypter-nimisellä haittaohjelmien latausohjelmalla. Hyökkäyksen takana olevat kyberrikolliset pystyivät tunkeutumaan näiden organisaatioiden järjestelmiin ja keräämään arkaluontoisia tietoja tai joissain tapauksissa pitämään järjestelmän panttivankina kiristysohjelmien avulla. Hyökkäyksen vakavuutta pahentaa se tosiasia, että nämä hallintoelimet tallentavat usein arkaluontoisia ja turvaluokiteltuja tietoja, mikä tekee niistä verkkorikollisten ensisijaisia kohteita.

Tietoturvatutkijat havaitsivat, että uhkatoimijat käyttivät Discordia hyväkseen isännöidessään alkuperäisen hyötykuorman ja vaaransivat myös voittoa tavoittelemattoman organisaation keinona kerätä lisää kampanjassa käytettyjä isäntiä. Tämä tarkoittaa, että hyökkääjät käyttivät laillista alustaa, kuten Discord, levittääkseen haittaohjelman alkuperäisen hyötykuorman, mikä vaikeutti turvajärjestelmien havaitsemista ja estämistä. Haittaohjelma tunnetaan useista eri haittaohjelmakannoista, mukaan lukien Redline Stealer, AgentTesla , Eternity , Blackmoon ja Philadelphia Ransomware .

PureCrypter on osa monivaiheista hyökkäysketjua

PureCrypter-haittaohjelmien latausohjelmaa hyödyntävä hyökkäys käynnistetään sähköpostilla, joka sisältää Discord-sovelluksen URL-osoitteen. Tämä URL-osoite johtaa PureCrypter-näytteeseen, joka on salasanasuojatussa ZIP-arkistossa. PureCrypter on haittaohjelmien latausohjelma, joka toimii .NET-pohjaisissa järjestelmissä. Sen operaattori vuokraa sen muille kyberrikollisille erityyppisten haittaohjelmien levittämistä varten. Kun PureCrypter on suoritettu, se hakee ja toimittaa seuraavan vaiheen hyötykuorman Command-and-Control (C2, C&C) -palvelimelta. Tässä nimenomaisessa tapauksessa uhkatoimijoiden käyttämä Command and Control -palvelin oli voittoa tavoittelemattoman organisaation vaarantunut palvelin.

Tutkijoiden analysoima näyte oli AgentTesla, eräänlainen haittaohjelma, joka kerää tietoa uhrin tietokoneelta. Käynnistyksen jälkeen AgentTesla muodostaa yhteyden Pakistanissa sijaitsevaan FTP-palvelimeen kerättyjen tietojen lähettämiseksi. Mielenkiintoista on, että uhkatoimijat eivät perustaneet omaa FTP-palvelintaan, vaan käyttivät vuotaneita tunnistetietoja hallitakseen olemassa olevaa palvelinta. Käyttämällä jo vaarantunutta palvelinta he vähentävät tunnistamisen riskiä ja minimoivat jälkensä.

AgentTesla on edelleen uhkaava kyberrikollisen työkalu

AgentTesla on eräänlainen .NET-haittaohjelma, jota kyberrikolliset ovat käyttäneet viimeiset kahdeksan vuotta. Sen käyttö on huipussaan vuoden 2020 lopulla ja vuoden 2021 alussa. Iästään huolimatta AgentTesla on edelleen erittäin kyvykäs ja kustannustehokas takaovi, joka on ollut jatkuvasti kehittynyt ja parantunut vuosien varrella.

Yksi AgentTeslan tärkeimmistä ominaisuuksista on kyky kirjata uhrin näppäinpainallukset, jolloin verkkorikolliset voivat kaapata arkaluontoisia tietoja, kuten salasanoja. Haittaohjelmat voivat myös kerätä salasanoja, jotka on tallennettu FTP-asiakasohjelmiin, verkkoselaimiin tai sähköpostiohjelmiin. Lisäksi AgentTesla voi ottaa kuvakaappauksia uhrin työpöydältä, mikä saattaa paljastaa luottamuksellisia tietoja. Se voi myös käyttää ja siepata kaikkia tietoja, jotka on kopioitu järjestelmän leikepöydälle, mukaan lukien tekstit, salasanat ja luottokorttitiedot. Kerättyään tiedot voidaan suodattaa Command and Control (C2) -palvelimelle FTP:n tai SMTP:n kautta.

PureCrypter-hyökkäyksissä uhkatoimijat käyttivät tekniikkaa, jota kutsutaan "prosessin tyhjentämiseksi" syöttääkseen AgentTeslan hyötykuorman lailliseen prosessiin nimeltä "cvtres.exe". Tämä tekniikka auttaa välttämään tietoturvatyökalujen havaitsemisen.

AgentTesla käyttää XOR-salausta, jotta verkkoliikenteen valvontatyökalut eivät havaitse C2-palvelimen kanssa tapahtuvaa viestintää ja konfiguraatiotiedostoja. Tämä salausmenetelmä vaikeuttaa turvajärjestelmien havaitsemista haittaohjelmien kommunikaatiossa C2-palvelimen kanssa, mikä tekee siitä haastavan uhan havaita ja lieventää.