PureCrypter
Grupa kibernetičkih kriminalaca napada vladine entitete u azijsko-pacifičkoj (APAC) i sjevernoameričkoj regiji s programom za preuzimanje zlonamjernog softvera pod nazivom PureCrypter. Kibernetički kriminalci koji stoje iza napada uspjeli su se infiltrirati u sustave tih organizacija i prikupiti osjetljive informacije ili, u nekim slučajevima, držati njihov sustav taocem korištenjem ransomwarea. Ozbiljnost napada pogoršava činjenica da ti državni subjekti često pohranjuju osjetljive i povjerljive podatke, što ih čini glavnim metama kibernetičkih kriminalaca.
Sigurnosni istraživači otkrili su da su akteri prijetnji iskoristili Discord za hosting početnog tereta i također kompromitirali neprofitnu organizaciju kao način prikupljanja dodatnih hostova korištenih u kampanji. To znači da su napadači koristili legitimnu platformu poput Discorda za distribuciju početnog tereta zlonamjernog softvera, što je otežalo sigurnosnim sustavima da ga otkriju i blokiraju. Zlonamjerni softver je poznat po isporuci nekoliko različitih sojeva zlonamjernog softvera, uključujući Redline Stealer, AgentTesla , Eternity , Blackmoon i Philadelphia Ransomware .
PureCrypter je dio višestupanjskog lanca napada
Napad koji koristi PureCrypter preuzimanje zlonamjernog softvera pokreće se e-poštom koja sadrži URL aplikacije Discord. Ovaj URL vodi do PureCrypter uzorka koji se nalazi u ZIP arhivi zaštićenoj lozinkom. PureCrypter je program za preuzimanje zlonamjernog softvera koji radi na sustavima temeljenim na .NET-u. Njegov operater iznajmljuje ga drugim kibernetičkim kriminalcima u svrhu distribucije raznih vrsta malwarea. Nakon što se PureCrypter izvrši, on dohvaća i isporučuje korisni teret sljedeće faze s Command-and-Control (C2, C&C) poslužitelja. U ovom konkretnom slučaju, poslužitelj za naredbe i kontrolu koji su koristili prijetnje bio je kompromitirani poslužitelj neprofitne organizacije.
Uzorak koji su istraživači analizirali bio je AgentTesla, vrsta malwarea koji prikuplja informacije sa žrtvinog računala. Nakon pokretanja, AgentTesla uspostavlja vezu s pakistanskim FTP poslužiteljem za slanje prikupljenih podataka. Ono što je zanimljivo je da akteri prijetnji nisu postavili vlastiti FTP poslužitelj, već su koristili procurjele vjerodajnice kako bi preuzeli kontrolu nad postojećim. Korištenjem već kompromitiranog poslužitelja smanjuju rizik od identificiranja i minimiziraju njihov trag.
AgentTesla ostaje prijeteći alat za kibernetičke kriminalce
AgentTesla je vrsta .NET zlonamjernog softvera koji kibernetički kriminalci koriste zadnjih osam godina, a njegova je upotreba dosegnula vrhunac krajem 2020. i početkom 2021. Unatoč svojoj starosti, AgentTesla ostaje vrlo sposoban i isplativ backdoor koji je neprestano razvijao i poboljšavao tijekom godina.
Jedna od ključnih mogućnosti AgentTesle je mogućnost bilježenja žrtvinih pritisaka na tipke, omogućujući cyber kriminalcima da uhvate osjetljive informacije, poput lozinki. Zlonamjerni softver također može prikupljati lozinke koje su spremljene u FTP klijentima, web preglednicima ili klijentima e-pošte. Osim toga, AgentTesla može snimiti snimke zaslona žrtvine radne površine, potencijalno otkrivajući povjerljive informacije. Također može pristupiti i presresti sve podatke koji se kopiraju u međuspremnik sustava, uključujući tekstove, lozinke i podatke o kreditnoj kartici. Jednom prikupljeni podaci mogu se prenijeti na poslužitelj za upravljanje i kontrolu (C2) putem FTP-a ili SMTP-a.
U napadima PureCrypter akteri prijetnji koristili su tehniku zvanu "produbljivanje procesa" za ubacivanje korisnih podataka AgentTesla u legitiman proces nazvan 'cvtres.exe.' Ova tehnika pomaže u izbjegavanju otkrivanja sigurnosnih alata.
Kako bi zaštitio svoju komunikaciju s C2 poslužiteljem i konfiguracijske datoteke od otkrivanja alata za nadzor mrežnog prometa, AgentTesla koristi XOR enkripciju. Ova metoda enkripcije otežava sigurnosnim sustavima otkrivanje komunikacije zlonamjernog softvera s C2 poslužiteljem, što ga čini izazovnom prijetnjom za otkrivanje i ublažavanje.
