PureCrypter

Kiberbűnözők egy csoportja PureCrypter nevű rosszindulatú programletöltővel támadt kormányzati szervekre az ázsiai-csendes-óceáni (APAC) és az észak-amerikai régiókban. A támadás mögött álló kiberbűnözők képesek voltak behatolni ezeknek a szervezeteknek a rendszereibe, és érzékeny információkat gyűjteni, vagy bizonyos esetekben túszul ejthetik rendszerüket zsarolóvírusok segítségével. A támadás súlyosságát tetézi, hogy ezek a kormányzati szervek gyakran érzékeny és titkos információkat tárolnak, így a kiberbűnözők elsődleges célpontjai.

A biztonsági kutatók rájöttek, hogy a fenyegetés szereplői a Discordot használták ki a kezdeti hasznos teher tárolására, és egy non-profit szervezetet is kompromittáltak a kampányban használt további gazdagépek begyűjtésére. Ez azt jelenti, hogy a támadók egy legitim platformot, például a Discordot használtak a rosszindulatú program kezdeti hasznos terhelésének terjesztésére, ami megnehezítette a biztonsági rendszerek észlelését és blokkolását. A rosszindulatú program arról ismert, hogy számos különböző rosszindulatú szoftvert szállít, köztük a Redline Stealer, az AgentTesla , az Eternity , a Blackmoon és a Philadelphia Ransomware .

A PureCrypter egy többlépcsős támadási lánc része

A PureCrypter rosszindulatú programletöltőt használó támadást egy olyan e-mail indítja, amely tartalmazza a Discord alkalmazás URL-címét. Ez az URL egy PureCrypter mintához vezet, amely egy jelszóval védett ZIP archívumban található. A PureCrypter egy rosszindulatú program letöltő, amely .NET-alapú rendszereken működik. Üzemeltetője bérbe adja más kiberbűnözőknek különféle típusú rosszindulatú programok terjesztése céljából. A PureCrypter végrehajtása után lekéri és kézbesíti a következő szintű hasznos terhelést egy Command-and-Control (C2, C&C) szerverről. Ebben a konkrét esetben a fenyegetés szereplői által használt Command and Control szerver egy nonprofit szervezet feltört szervere volt.

A kutatók által elemzett minta az AgentTesla volt, egy olyan típusú kártevő, amely információkat gyűjt az áldozat számítógépéről. Az indítást követően az AgentTesla kapcsolatot létesít egy pakisztáni székhelyű FTP-kiszolgálóval az összegyűjtött adatok elküldéséhez. Az érdekes az, hogy a fenyegetés szereplői nem állítottak fel saját FTP-kiszolgálót, hanem a kiszivárgott hitelesítő adatokkal vették át az irányítást egy meglévő felett. Egy már feltört szerver használatával csökkentik az azonosítás kockázatát és minimálisra csökkentik a nyomkövetést.

Az AgentTesla továbbra is fenyegető kiberbűnözői eszköz

Az AgentTesla a .NET-es rosszindulatú programok egyik típusa, amelyet az elmúlt nyolc évben használtak kiberbűnözők, és 2020 végén és 2021 elején tetőzött. Kora ellenére az AgentTesla továbbra is rendkívül hatékony és költséghatékony háttérajtó, amelyet folyamatosan fejlődött és fejlődött az évek során.

Az AgentTesla egyik kulcsfontosságú képessége az áldozat billentyűleütéseinek naplózása, amely lehetővé teszi a kiberbűnözők számára, hogy érzékeny információkat, például jelszavakat rögzítsenek. A kártevő olyan jelszavakat is gyűjthet, amelyeket FTP kliensekben, webböngészőkben vagy e-mail kliensekben mentett. Ezenkívül az AgentTesla képernyőképeket is készíthet az áldozat asztaláról, amivel potenciálisan bizalmas információkat fedhet fel. Ezenkívül hozzáférhet és elfoghat minden olyan adatot, amelyet a rendszer vágólapjára másol, beleértve a szövegeket, jelszavakat és hitelkártyaadatokat. Az összegyűjtést követően az adatok FTP-n vagy SMTP-n keresztül kiszűrhetők a Command and Control (C2) szerverre.

A PureCrypter támadások során a fenyegetés szereplői a „process hollowing” nevű technikát alkalmazták, hogy az AgentTesla hasznos terhét a „cvtres.exe” nevű legitim folyamatba fecskendezzék be. Ez a technika segít elkerülni a biztonsági eszközök észlelését.

Annak érdekében, hogy a C2 szerverrel folytatott kommunikációját és a konfigurációs fájlokat ne észleljék a hálózati forgalom figyelő eszközei, az AgentTesla XOR titkosítást használ. Ez a titkosítási módszer megnehezíti a biztonsági rendszerek számára a rosszindulatú program és a C2 kiszolgáló közötti kommunikáció észlelését, ami kihívást jelent az észlelés és a mérséklés során.