PureCrypter
Grupa cyberprzestępców atakuje instytucje rządowe w regionach Azji i Pacyfiku (APAC) oraz Ameryki Północnej za pomocą narzędzia do pobierania złośliwego oprogramowania o nazwie PureCrypter. Cyberprzestępcy stojący za atakiem byli w stanie zinfiltrować systemy tych organizacji i zebrać poufne informacje lub, w niektórych przypadkach, przetrzymać system jako zakładnika za pomocą oprogramowania ransomware. Nasilenie ataku potęguje fakt, że te instytucje rządowe często przechowują poufne i niejawne informacje, co czyni je głównymi celami cyberprzestępców.
Badacze bezpieczeństwa odkryli, że cyberprzestępcy wykorzystali Discord do hostowania początkowego ładunku, a także włamali się do organizacji non-profit, aby pozyskać dodatkowe hosty wykorzystywane w kampanii. Oznacza to, że osoby atakujące wykorzystały legalną platformę, taką jak Discord, do dystrybucji początkowej zawartości złośliwego oprogramowania, co utrudnia systemom bezpieczeństwa wykrycie i zablokowanie go. Złośliwe oprogramowanie jest znane z dostarczania kilku różnych szczepów złośliwego oprogramowania, w tym Redline Stealer, AgentTesla , Eternity , Blackmoon i Philadelphia Ransomware .
PureCrypter jest częścią wieloetapowego łańcucha ataków
Atak wykorzystujący narzędzie do pobierania złośliwego oprogramowania PureCrypter jest inicjowany wiadomością e-mail zawierającą adres URL aplikacji Discord. Ten adres URL prowadzi do próbki PureCrypter zawartej w chronionym hasłem archiwum ZIP. PureCrypter to narzędzie do pobierania złośliwego oprogramowania, które działa na systemach opartych na .NET. Jego operator wynajmuje go innym cyberprzestępcom w celu dystrybucji różnego rodzaju złośliwego oprogramowania. Po uruchomieniu PureCrypter pobiera i dostarcza ładunek następnego etapu z serwera Command-and-Control (C2, C&C). W tym konkretnym przypadku serwer dowodzenia i kontroli wykorzystywany przez cyberprzestępców był zaatakowanym serwerem organizacji non-profit.
Próbka przeanalizowana przez badaczy to AgentTesla, rodzaj złośliwego oprogramowania, które zbiera informacje z komputera ofiary. Po uruchomieniu AgentTesla nawiązuje połączenie z serwerem FTP w Pakistanie w celu wysłania zebranych danych. Co ciekawe, cyberprzestępcy nie utworzyli własnego serwera FTP, ale wykorzystali ujawnione dane uwierzytelniające, aby przejąć kontrolę nad istniejącym serwerem. Korzystając z już zaatakowanego serwera, zmniejszają ryzyko identyfikacji i minimalizują ich śledzenie.
AgentTesla pozostaje groźnym narzędziem cyberprzestępczym
AgentTesla to rodzaj złośliwego oprogramowania .NET, które było wykorzystywane przez cyberprzestępców przez ostatnie osiem lat, a szczyt jego wykorzystania przypada na koniec 2020 i początek 2021 roku. Pomimo swojego wieku, AgentTesla pozostaje wysoce wydajnym i opłacalnym backdoorem, który był nieustannie rozwijane i ulepszane przez lata.
Jedną z kluczowych możliwości AgentTesla jest możliwość rejestrowania naciśnięć klawiszy ofiary, co umożliwia cyberprzestępcom przechwytywanie poufnych informacji, takich jak hasła. Złośliwe oprogramowanie może również gromadzić hasła zapisane w klientach FTP, przeglądarkach internetowych lub klientach poczty e-mail. Ponadto AgentTesla może przechwytywać zrzuty ekranu pulpitu ofiary, potencjalnie ujawniając poufne informacje. Może również uzyskiwać dostęp i przechwytywać wszelkie dane kopiowane do schowka systemu, w tym teksty, hasła i dane karty kredytowej. Po zebraniu dane można przenieść na serwer dowodzenia i kontroli (C2) przez FTP lub SMTP.
W atakach PureCrypter cyberprzestępcy wykorzystali technikę zwaną „wydrążaniem procesu”, aby wstrzyknąć ładunek AgentTesla do legalnego procesu o nazwie „cvtres.exe”. Ta technika pomaga uniknąć wykrycia przez narzędzia bezpieczeństwa.
Aby zabezpieczyć komunikację z serwerem C2 i pliki konfiguracyjne przed wykryciem przez narzędzia do monitorowania ruchu sieciowego, AgentTesla stosuje szyfrowanie XOR. Ta metoda szyfrowania utrudnia systemom bezpieczeństwa wykrycie komunikacji złośliwego oprogramowania z serwerem C2, co sprawia, że wykrycie i złagodzenie tego zagrożenia jest trudne.
