PureCrypter

Sekumpulan penjenayah siber telah menyerang entiti kerajaan di rantau Asia-Pasifik (APAC) dan Amerika Utara dengan pemuat turun perisian hasad yang dipanggil PureCrypter. Penjenayah siber di sebalik serangan itu dapat menyusup ke sistem organisasi ini dan mengumpul maklumat sensitif atau, dalam beberapa kes, menahan tebusan sistem mereka melalui penggunaan perisian tebusan. Keterukan serangan itu ditambah lagi dengan fakta bahawa entiti kerajaan ini sering menyimpan maklumat sensitif dan sulit, menjadikan mereka sasaran utama penjenayah siber.

Penyelidik keselamatan mendapati bahawa pelakon ancaman mengeksploitasi Discord untuk menjadi hos muatan awal dan juga menjejaskan organisasi bukan untung sebagai cara untuk mendapatkan hos tambahan yang digunakan dalam kempen. Ini bermakna bahawa penyerang menggunakan platform yang sah seperti Discord untuk mengedarkan muatan awal perisian hasad, menyukarkan sistem keselamatan untuk mengesan dan menyekatnya. Perisian hasad dikenali kerana menghantar beberapa jenis perisian hasad yang berbeza, termasuk Redline Stealer, AgentTesla , Eternity , Blackmoon dan Philadelphia Ransomware .

PureCrypter ialah Sebahagian daripada Rantaian Serangan Berbilang Peringkat

Serangan yang menggunakan pemuat turun perisian hasad PureCrypter dimulakan dengan e-mel yang mengandungi URL aplikasi Discord. URL ini membawa kepada sampel PureCrypter yang terkandung dalam arkib ZIP yang dilindungi kata laluan. PureCrypter ialah pemuat turun perisian hasad yang beroperasi pada sistem berasaskan .NET. Pengendalinya menyewakannya kepada penjenayah siber lain untuk tujuan mengedarkan pelbagai jenis perisian hasad. Setelah PureCrypter dilaksanakan, ia mengambil dan menghantar muatan peringkat seterusnya daripada pelayan Command-and-Control (C2, C&C). Dalam kes khusus ini, pelayan Perintah dan Kawalan yang digunakan oleh pelaku ancaman adalah pelayan organisasi bukan untung yang terjejas.

Sampel yang dianalisis oleh penyelidik ialah AgentTesla, sejenis perisian hasad yang mengumpul maklumat daripada komputer mangsa. Setelah dilancarkan, AgentTesla membuat sambungan ke pelayan FTP yang berpangkalan di Pakistan untuk menghantar data yang dikumpul. Apa yang menarik ialah pelakon ancaman tidak menyediakan pelayan FTP mereka sendiri tetapi menggunakan kelayakan yang bocor untuk mengawal yang sedia ada. Dengan menggunakan pelayan yang telah terjejas, mereka mengurangkan risiko dikenal pasti dan meminimumkan kesannya.

AgentTesla Kekal Sebagai Alat Penjenayah Siber yang Mengancam

AgentTesla ialah sejenis perisian hasad .NET yang telah digunakan oleh penjenayah siber selama lapan tahun yang lalu, dengan penggunaannya memuncak pada penghujung 2020 dan awal 2021. Walaupun usianya sudah tua, AgentTesla kekal sebagai pintu belakang yang berkeupayaan tinggi dan menjimatkan kos yang berterusan. berkembang dan bertambah baik selama bertahun-tahun.

Salah satu keupayaan utama AgentTesla ialah keupayaan untuk log ketukan kekunci mangsa, membolehkan penjenayah siber menangkap maklumat sensitif, seperti kata laluan. Malware juga mungkin mengumpul kata laluan yang disimpan dalam klien FTP, penyemak imbas Web atau klien e-mel. Selain itu, AgentTesla boleh menangkap tangkapan skrin desktop mangsa, yang berpotensi mendedahkan maklumat sulit. Ia juga boleh mengakses dan memintas sebarang data yang disalin ke papan keratan sistem, termasuk teks, kata laluan dan butiran kad kredit. Setelah dikumpulkan, data boleh dieksfiltrasi ke pelayan Perintah dan Kawalan (C2) melalui FTP atau SMTP.

Dalam serangan PureCrypter, pelakon ancaman menggunakan teknik yang dipanggil "pembuangan proses" untuk menyuntik muatan AgentTesla ke dalam proses yang sah dipanggil 'cvtres.exe.' Teknik ini membantu mengelak pengesanan daripada alat keselamatan.

Untuk memastikan komunikasinya selamat dengan pelayan C2 dan fail konfigurasi daripada dikesan oleh alat pemantauan trafik rangkaian, AgentTesla menggunakan penyulitan XOR. Kaedah penyulitan ini menyukarkan sistem keselamatan untuk mengesan komunikasi perisian hasad dengan pelayan C2, menjadikannya ancaman yang mencabar untuk mengesan dan mengurangkan.