PureCrypter

Kibernoziedznieku grupa Āzijas un Klusā okeāna (APAC) un Ziemeļamerikas reģionos uzbrūk valdības iestādēm, izmantojot ļaunprātīgas programmatūras lejupielādētāju PureCrypter. Uzbrukuma pamatā esošie kibernoziedznieki varēja iefiltrēties šo organizāciju sistēmās un savākt sensitīvu informāciju vai dažos gadījumos turēt savu sistēmu par ķīlnieku, izmantojot izspiedējprogrammatūru. Uzbrukuma nopietnību pastiprina fakts, ka šīs valdības struktūras bieži glabā sensitīvu un klasificētu informāciju, padarot tās par galveno kibernoziedznieku mērķi.

Drošības pētnieki atklāja, ka draudu dalībnieki izmantoja Discord, lai uzņemtu sākotnējo lietderīgo slodzi, kā arī apdraudēja bezpeļņas organizāciju, lai iegūtu papildu resursdatorus, kas izmantoti kampaņā. Tas nozīmē, ka uzbrucēji izmantoja likumīgu platformu, piemēram, Discord, lai izplatītu sākotnējo ļaunprātīgās programmatūras slodzi, tādējādi drošības sistēmām bija grūti to atklāt un bloķēt. Ļaunprātīga programmatūra ir pazīstama ar vairāku dažādu ļaunprātīgas programmatūras celmu piegādi, tostarp Redline Stealer, AgentTesla , Eternity , Blackmoon un Philadelphia Ransomware .

PureCrypter ir daļa no daudzpakāpju uzbrukuma ķēdes

Uzbrukums, kurā tiek izmantots PureCrypter ļaunprātīgas programmatūras lejupielādētājs, tiek uzsākts ar e-pasta ziņojumu, kurā ir Discord lietojumprogrammas URL. Šis URL novirza uz PureCrypter paraugu, kas atrodas ar paroli aizsargātā ZIP arhīvā. PureCrypter ir ļaunprātīgas programmatūras lejupielādētājs, kas darbojas uz .NET balstītām sistēmām. Tās operators to iznomā citiem kibernoziedzniekiem, lai izplatītu dažāda veida ļaunprātīgu programmatūru. Kad PureCrypter ir izpildīts, tas ienes un piegādā nākamā posma lietderīgo slodzi no Command-and-Control (C2, C&C) servera. Šajā konkrētajā gadījumā Command and Control serveris, ko izmantoja apdraudējuma dalībnieki, bija bezpeļņas organizācijas apdraudētais serveris.

Pētnieku analizētais paraugs bija AgentTesla, ļaunprātīgas programmatūras veids, kas apkopo informāciju no upura datora. Pēc palaišanas AgentTesla izveido savienojumu ar Pakistānā bāzētu FTP serveri, lai nosūtītu savāktos datus. Interesanti ir tas, ka apdraudējuma dalībnieki neizveidoja paši savu FTP serveri, bet gan izmantoja nopludinātus akreditācijas datus, lai pārņemtu kontroli pār esošu. Izmantojot jau apdraudētu serveri, tie samazina risku tikt identificētiem un samazina to izsekojamību.

Aģents Tesla joprojām ir draudīgs kibernoziedznieku rīks

AgentTesla ir .NET ļaunprātīgas programmatūras veids, ko kibernoziedznieki ir izmantojuši pēdējos astoņus gadus, un tās izmantošanas maksimums sasniedza 2020. gada beigās un 2021. gada sākumā. Neskatoties uz savu vecumu, AgentTesla joprojām ir ļoti spējīga un rentabla aizmugures durvis, kas ir nepārtraukti izmantotas. gadu gaitā attīstījās un uzlabojās.

Viena no galvenajām AgentTesla iespējām ir iespēja reģistrēt upura taustiņsitienus, ļaujot kibernoziedzniekiem tvert sensitīvu informāciju, piemēram, paroles. Ļaunprātīga programmatūra var arī apkopot paroles, kas tiek saglabātas FTP klientos, tīmekļa pārlūkprogrammās vai e-pasta klientos. Turklāt AgentTesla var tvert upura darbvirsmas ekrānuzņēmumus, potenciāli atklājot konfidenciālu informāciju. Tā var arī piekļūt un pārtvert jebkuriem datiem, kas tiek kopēti sistēmas starpliktuvē, tostarp tekstiem, parolēm un kredītkaršu datiem. Kad dati ir savākti, tos var izfiltrēt uz Command and Control (C2) serveri, izmantojot FTP vai SMTP.

PureCrypter uzbrukumos draudu dalībnieki izmantoja paņēmienu, ko sauc par "procesa dobumu", lai ievadītu AgentTesla derīgo slodzi likumīgā procesā, ko sauc par "cvtres.exe". Šis paņēmiens palīdz izvairīties no atklāšanas no drošības rīkiem.

Lai nodrošinātu, ka tīkla trafika uzraudzības rīki neatklāj sakarus ar C2 serveri un konfigurācijas failus, AgentTesla izmanto XOR šifrēšanu. Šī šifrēšanas metode apgrūtina drošības sistēmām atklāt ļaunprātīgas programmatūras saziņu ar serveri C2, padarot to par sarežģītu draudu atklāšanu un mazināšanu.