PureCrypter

En gruppe nettkriminelle har angrepet myndighetsorganer i Asia-Pacific (APAC) og Nord-Amerika med en malware-nedlaster kalt PureCrypter. Nettkriminelle bak angrepet var i stand til å infiltrere disse organisasjonenes systemer og samle inn sensitiv informasjon eller, i noen tilfeller, holde systemet som gissel gjennom bruk av løsepengeprogramvare. Alvorlighetsgraden av angrepet forsterkes av det faktum at disse regjeringsenhetene ofte lagrer sensitiv og klassifisert informasjon, noe som gjør dem til hovedmål for nettkriminelle.

Sikkerhetsforskere fant ut at trusselaktørene utnyttet Discord til å være vert for den første nyttelasten og kompromitterte også en ideell organisasjon som en måte å skaffe flere verter brukt i kampanjen. Dette betyr at angriperne brukte en legitim plattform som Discord for å distribuere den første nyttelasten til skadelig programvare, noe som gjorde det vanskelig for sikkerhetssystemer å oppdage og blokkere den. Skadevaren er kjent for å levere flere forskjellige skadevarestammer, inkludert Redline Stealer, AgentTesla , Eternity , Blackmoon og Philadelphia Ransomware .

PureCrypter er en del av en flertrinns angrepskjede

Angrepet som bruker PureCrypter-malwarenedlasteren startes med en e-post som inneholder en Discord-applikasjons-URL. Denne URL-en fører til et PureCrypter-eksempel som er inneholdt i et passordbeskyttet ZIP-arkiv. PureCrypter er en malware-nedlaster som opererer på .NET-baserte systemer. Operatøren leier den ut til andre nettkriminelle med det formål å distribuere ulike typer skadelig programvare. Når PureCrypter er utført, henter den og leverer nyttelasten i neste trinn fra en Command-and-Control-server (C2, C&C). I dette spesifikke tilfellet var kommando- og kontrollserveren brukt av trusselaktørene den kompromitterte serveren til en ideell organisasjon.

Prøven som ble analysert av forskerne var AgentTesla, en type skadelig programvare som samler informasjon fra offerets datamaskin. Når den er lansert, oppretter AgentTesla en tilkobling til en Pakistan-basert FTP-server for å sende de innsamlede dataene. Det som er interessant er at trusselaktørene ikke satte opp sin egen FTP-server, men brukte lekket legitimasjon for å ta kontroll over en eksisterende. Ved å bruke en allerede kompromittert server reduserer de risikoen for å bli identifisert og minimerer sporingen.

AgentTesla er fortsatt et truende nettkriminelt verktøy

Agency utviklet og forbedret gjennom årene.

En av AgentTeslas nøkkelfunksjoner er muligheten til å logge offerets tastetrykk, slik at nettkriminelle kan fange opp sensitiv informasjon, for eksempel passord. Skadevaren kan også samle inn passord som er lagret i FTP-klienter, nettlesere eller e-postklienter. I tillegg kan AgentTesla ta skjermbilder av offerets skrivebord, og potensielt avsløre konfidensiell informasjon. Den kan også få tilgang til og fange opp alle data som er kopiert til utklippstavlen til systemet, inkludert tekster, passord og kredittkortdetaljer. Når dataene er samlet inn, kan de eksfiltreres til Command and Control-serveren (C2) via FTP eller SMTP.

I PureCrypter-angrepene brukte trusselaktørene en teknikk kalt "process hollowing" for å injisere AgentTesla-nyttelasten i en legitim prosess kalt "cvtres.exe". Denne teknikken bidrar til å unngå gjenkjenning fra sikkerhetsverktøy.

For å sikre at kommunikasjonen med C2-serveren og konfigurasjonsfiler ikke blir oppdaget av nettverkstrafikkovervåkingsverktøy, bruker AgentTesla XOR-kryptering. Denne krypteringsmetoden gjør det vanskelig for sikkerhetssystemer å oppdage skadelig programvares kommunikasjon med C2-serveren, noe som gjør det til en utfordrende trussel å oppdage og redusere.