PureCrypter

קבוצה של פושעי סייבר תוקפת גופים ממשלתיים באזורי אסיה-פסיפיק (APAC) וצפון אמריקה באמצעות תוכנת תוכנות זדוניות בשם PureCrypter. פושעי הסייבר מאחורי המתקפה הצליחו לחדור למערכות של ארגונים אלו ולאסוף מידע רגיש או, במקרים מסוימים, להחזיק את המערכת שלהם כבת ערובה באמצעות שימוש בתוכנת כופר. לחומרת המתקפה מתווספת העובדה שגופים ממשלתיים אלה מאחסנים לעתים קרובות מידע רגיש ומסווג, מה שהופך אותם למטרות עיקריות עבור פושעי סייבר.

חוקרי אבטחה גילו ששחקני האיום ניצלו את Discord כדי לארח את המטען הראשוני וגם התפשרו על ארגון ללא מטרות רווח כדרך לגייס מארחים נוספים ששימשו בקמפיין. המשמעות היא שהתוקפים השתמשו בפלטפורמה לגיטימית כמו Discord כדי להפיץ את המטען הראשוני של התוכנה הזדונית, מה שמקשה על מערכות האבטחה לזהות ולחסום אותה. התוכנה הזדונית ידועה בכך שהיא מספקת מספר זני תוכנות זדוניות שונות, כולל Redline Stealer, AgentTesla , Eternity , Blackmoon ו- Philadelphia Ransomware .

PureCrypter הוא חלק משרשרת התקפה רב-שלבית

המתקפה שמשתמשת בתוכנת תוכנות זדוניות PureCrypter מתחילה עם הודעת דוא"ל המכילה כתובת URL של יישום Discord. כתובת URL זו מובילה לדוגמא של PureCrypter הכלולה בארכיון ZIP מוגן בסיסמה. PureCrypter הוא תוכנה להורדה של תוכנות זדוניות הפועלות על מערכות מבוססות NET. המפעיל שלה משכיר אותו לפושעי סייבר אחרים לצורך הפצת סוגים שונים של תוכנות זדוניות. לאחר ביצוע ה-PureCrypter, הוא מביא ומספק את המטען הבא משרת Command-and-Control (C2, C&C). במקרה הספציפי הזה, שרת הפיקוד והבקרה ששימש את שחקני האיומים היה השרת שנפגע של ארגון ללא מטרות רווח.

המדגם שניתח על ידי החוקרים היה AgentTesla, סוג של תוכנה זדונית שאוסף מידע מהמחשב של הקורבן. לאחר ההשקה, AgentTesla יוצר חיבור לשרת FTP מבוסס פקיסטן כדי לשלוח את הנתונים שנאספו. מה שמעניין הוא ששחקני האיום לא הקימו שרת FTP משלהם אלא השתמשו באישורים שדלפו כדי להשתלט על שרת קיים. על ידי שימוש בשרת שכבר נפרץ, הם מפחיתים את הסיכונים לזיהוי ומצמצמים את עקבותיהם.

AgentTesla נשאר כלי פושע סייבר מאיים

AgentTesla הוא סוג של תוכנות זדוניות מסוג .NET שנמצאות בשימוש על ידי פושעי סייבר בשמונה השנים האחרונות, כאשר השימוש בה הגיע לשיא בסוף 2020 ותחילת 2021. למרות גילה, AgentTesla נותרה דלת אחורית בעלת יכולת גבוהה וחסכונית שהייתה ללא הרף. התפתח והשתפר עם השנים.

אחת היכולות המרכזיות של AgentTesla היא היכולת לרשום את הקשות המקשים של הקורבן, מה שמאפשר לפושעי סייבר ללכוד מידע רגיש, כמו סיסמאות. התוכנה הזדונית עשויה גם לאסוף סיסמאות שנשמרות בלקוחות FTP, בדפדפני אינטרנט או בלקוחות דוא"ל. בנוסף, AgentTesla יכולה לצלם צילומי מסך של שולחן העבודה של הקורבן, ועלול לחשוף מידע סודי. היא גם רשאית לגשת וליירט כל מידע שיועתק ללוח של המערכת, לרבות טקסטים, סיסמאות ופרטי כרטיס אשראי. לאחר איסוף הנתונים, ניתן להעביר את הנתונים לשרת הפיקוד והבקרה (C2) באמצעות FTP או SMTP.

בהתקפות PureCrypter, שחקני האיום השתמשו בטכניקה שנקראת "החללת תהליכים" כדי להחדיר את מטען ה-AgentTesla לתהליך לגיטימי שנקרא 'cvtres.exe'. טכניקה זו עוזרת להתחמק מזיהוי מכלי אבטחה.

כדי לשמור על בטיחות התקשורת שלה עם שרת C2 וקובצי תצורה שלא יתגלו על ידי כלי ניטור תעבורת רשת, AgentTesla משתמשת בהצפנת XOR. שיטת הצפנה זו מקשה על מערכות האבטחה לזהות את התקשורת של התוכנה הזדונית עם שרת C2, מה שהופך אותה לאיום מאתגר לזיהוי והפחתה.