PureCrypter

Группа киберпреступников атаковала государственные учреждения в Азиатско-Тихоокеанском регионе (APAC) и Северной Америке с помощью загрузчика вредоносного ПО под названием PureCrypter. Киберпреступники, стоящие за атакой, смогли проникнуть в системы этих организаций и собрать конфиденциальную информацию или, в некоторых случаях, удерживать их системы в заложниках с помощью программ-вымогателей. Серьезность атаки усугубляется тем фактом, что эти правительственные учреждения часто хранят конфиденциальную и секретную информацию, что делает их главной мишенью для киберпреступников.

Исследователи безопасности обнаружили, что злоумышленники использовали Discord для размещения первоначальной полезной нагрузки, а также взломали некоммерческую организацию, чтобы получить дополнительные хосты, используемые в кампании. Это означает, что злоумышленники использовали законную платформу, такую как Discord, для распространения первоначальной полезной нагрузки вредоносного ПО, что затрудняло обнаружение и блокировку систем безопасности. Вредоносное ПО известно тем, что доставляет несколько различных штаммов вредоносных программ, включая Redline Stealer, AgentTesla , Eternity , Blackmoon и Philadelphia Ransomware .

PureCrypter является частью многоэтапной цепочки атак

Атака с использованием загрузчика вредоносных программ PureCrypter инициируется с помощью электронного письма, содержащего URL-адрес приложения Discord. Этот URL-адрес ведет к образцу PureCrypter, который содержится в защищенном паролем ZIP-архиве. PureCrypter — это загрузчик вредоносных программ, работающий в системах на базе .NET. Его оператор сдает его в аренду другим киберпреступникам с целью распространения различного рода вредоносных программ. После выполнения PureCrypter извлекает и доставляет полезную нагрузку следующего этапа с сервера управления и контроля (C2, C&C). В данном конкретном случае сервер управления и контроля, используемый злоумышленниками, был скомпрометированным сервером некоммерческой организации.

Образец, проанализированный исследователями, был AgentTesla, типом вредоносного ПО, которое собирает информацию с компьютера жертвы. После запуска AgentTesla устанавливает соединение с FTP-сервером в Пакистане для отправки собранных данных. Что интересно, злоумышленники не создали свой собственный FTP-сервер, а использовали утечку учетных данных, чтобы получить контроль над существующим. Используя уже скомпрометированный сервер, они снижают риск быть идентифицированными и минимизируют свой след.

AgentTesla остается опасным киберпреступным инструментом

AgentTesla — это тип вредоносного ПО для .NET, которое используется киберпреступниками в течение последних восьми лет, пик его использования пришелся на конец 2020 — начало 2021 года. Несмотря на свой возраст, AgentTesla остается мощным и экономичным бэкдором, который постоянно развивались и совершенствовались годами.

Одной из ключевых возможностей AgentTesla является возможность регистрировать нажатия клавиш жертвы, что позволяет киберпреступникам перехватывать конфиденциальную информацию, такую как пароли. Вредоносная программа также может собирать пароли, сохраненные в FTP-клиентах, веб-браузерах или почтовых клиентах. Кроме того, AgentTesla может делать скриншоты рабочего стола жертвы, потенциально раскрывая конфиденциальную информацию. Он также может получить доступ и перехватить любые данные, которые копируются в буфер обмена системы, включая тексты, пароли и данные кредитной карты. После сбора данные могут быть переданы на сервер управления и контроля (C2) через FTP или SMTP.

В атаках PureCrypter субъекты угрозы использовали технику, называемую «опустошением процессов», для внедрения полезной нагрузки AgentTesla в законный процесс под названием «cvtres.exe». Этот метод помогает избежать обнаружения инструментами безопасности.

Чтобы защитить связь с сервером C2 и файлы конфигурации от обнаружения инструментами мониторинга сетевого трафика, AgentTesla использует шифрование XOR. Этот метод шифрования затрудняет для систем безопасности обнаружение связи вредоносного ПО с сервером C2, что затрудняет его обнаружение и устранение.