PureCrypter
Grupė kibernetinių nusikaltėlių atakavo vyriausybines institucijas Azijos ir Ramiojo vandenyno (APAC) ir Šiaurės Amerikos regionuose naudodama kenkėjiškų programų parsisiuntimo programą „PureCrypter“. Kibernetiniai nusikaltėliai, užpuolę ataką, galėjo įsiskverbti į šių organizacijų sistemas ir rinkti neskelbtiną informaciją arba, kai kuriais atvejais, laikyti jų sistemą įkaite naudodami išpirkos reikalaujančią programinę įrangą. Atakos sunkumą apsunkina tai, kad šios vyriausybės subjektai dažnai saugo slaptą ir įslaptintą informaciją, todėl yra pagrindiniai kibernetinių nusikaltėlių taikiniai.
Saugumo tyrinėtojai išsiaiškino, kad grėsmės veikėjai išnaudojo „Discord“, kad priglobtų pradinį naudingąjį apkrovą, ir taip pat pakenkė ne pelno organizacijai, siekdami pritraukti papildomų kampanijoje naudojamų prieglobų. Tai reiškia, kad užpuolikai naudojo teisėtą platformą, tokią kaip „Discord“, kad platintų pradinį naudingą kenkėjiškų programų kiekį, todėl apsaugos sistemoms buvo sunku ją aptikti ir blokuoti. Kenkėjiška programa žinoma dėl kelių skirtingų kenkėjiškų programų padermių, įskaitant Redline Stealer, AgentTesla , Eternity , Blackmoon ir Philadelphia Ransomware .
„PureCrypter“ yra daugiapakopės atakų grandinės dalis
Ataka, kuri naudoja PureCrypter kenkėjiškų programų atsisiuntimo programą, pradedama el. laišku, kuriame yra programos Discord URL. Šis URL nukreipia į PureCrypter pavyzdį, kuris yra slaptažodžiu apsaugotame ZIP archyve. PureCrypter yra kenkėjiškų programų atsisiuntimo programa, kuri veikia .NET pagrindu veikiančiose sistemose. Jos operatorius nuomoja jį kitiems kibernetiniams nusikaltėliams, siekdamas platinti įvairių tipų kenkėjiškas programas. Kai „PureCrypter“ vykdomas, jis paima ir pristato kito etapo naudingąją apkrovą iš „Command-and-Control“ (C2, C&C) serverio. Šiuo konkrečiu atveju grėsmės veikėjų naudojamas komandų ir valdymo serveris buvo pažeistas ne pelno organizacijos serveris.
Tyrėjų ištirtas pavyzdys buvo „AgentTesla“ – kenkėjiškų programų tipas, renkantis informaciją iš aukos kompiuterio. Paleidus, „AgentTesla“ užmezga ryšį su Pakistane veikiančiu FTP serveriu, kad išsiųstų surinktus duomenis. Įdomu tai, kad grėsmės veikėjai nesukūrė savo FTP serverio, o naudojo nutekėjusius kredencialus, kad perimtų esamo serverio valdymą. Naudodami jau pažeistą serverį, jie sumažina atpažinimo riziką ir sumažina jų pėdsakus.
AgentTesla išlieka grėsmingu kibernetinių nusikaltėlių įrankiu
„AgentTesla“ yra tam tikros rūšies .NET kenkėjiška programa, kurią kibernetiniai nusikaltėliai naudojo pastaruosius aštuonerius metus, o didžiausias jos naudojimas buvo 2020 m. pabaigoje ir 2021 m. pradžioje. Nepaisant savo amžiaus, „AgentTesla“ išlieka labai galinga ir ekonomiška užpakalinė durelė, kuri nuolat buvo naudojama bėgant metams tobulėjo ir tobulėjo.
Viena iš pagrindinių AgentTesla galimybių yra galimybė registruoti aukos klavišų paspaudimus, leidžiančius kibernetiniams nusikaltėliams užfiksuoti slaptą informaciją, pavyzdžiui, slaptažodžius. Kenkėjiška programa taip pat gali rinkti slaptažodžius, kurie yra išsaugoti FTP programose, žiniatinklio naršyklėse ar el. pašto programose. Be to, „AgentTesla“ gali užfiksuoti aukos darbalaukio ekrano kopijas, kurios gali atskleisti konfidencialią informaciją. Jis taip pat gali pasiekti ir perimti bet kokius duomenis, nukopijuotus į sistemos mainų sritį, įskaitant tekstus, slaptažodžius ir kredito kortelės duomenis. Surinkus duomenis galima išfiltruoti į komandų ir valdymo (C2) serverį per FTP arba SMTP.
„PureCrypter“ atakų metu grėsmės veikėjai naudojo techniką, vadinamą „proceso tuščiaviduriu“, kad įneštų „AgentTesla“ naudingąją apkrovą į teisėtą procesą, vadinamą „cvtres.exe“. Ši technika padeda išvengti apsaugos priemonių aptikimo.
Kad tinklo srauto stebėjimo įrankiai neaptiktų ryšio su C2 serveriu ir konfigūracijos failų, „AgentTesla“ naudoja XOR šifravimą. Dėl šio šifravimo metodo apsaugos sistemoms sunku aptikti kenkėjiškos programos ryšį su C2 serveriu, todėl ją aptikti ir sušvelninti kelia sudėtinga grėsmė.
