PureCrypter

Skupina kyberzločincov útočí na vládne subjekty v regiónoch Ázie a Tichomoria (APAC) a Severnej Ameriky pomocou sťahovača škodlivého softvéru s názvom PureCrypter. Kyberzločinci za útokom dokázali preniknúť do systémov týchto organizácií a zbierať citlivé informácie alebo v niektorých prípadoch držať ich systém ako rukojemníkov pomocou ransomvéru. Závažnosť útoku je umocnená skutočnosťou, že tieto vládne subjekty často uchovávajú citlivé a utajované informácie, čo z nich robí hlavné ciele kyberzločincov.

Bezpečnostní výskumníci zistili, že aktéri hrozby zneužili Discord na hosťovanie počiatočného užitočného zaťaženia a tiež kompromitovali neziskovú organizáciu ako spôsob, ako získať ďalších hostiteľov použitých v kampani. To znamená, že útočníci použili legitímnu platformu ako Discord na distribúciu počiatočného užitočného zaťaženia malvéru, čo bezpečnostným systémom sťažilo jeho detekciu a zablokovanie. Malvér je známy tým, že prináša niekoľko rôznych druhov malvéru, vrátane Redline Stealer, AgentTesla , Eternity , Blackmoon a Philadelphia Ransomware .

PureCrypter je súčasťou viacstupňového reťazca útokov

Útok, ktorý využíva program na sťahovanie malvéru PureCrypter, sa iniciuje e-mailom, ktorý obsahuje adresu URL aplikácie Discord. Táto adresa URL vedie k vzorke PureCrypter, ktorá sa nachádza v archíve ZIP chránenom heslom. PureCrypter je sťahovanie škodlivého softvéru, ktorý funguje na systémoch založených na .NET. Jeho prevádzkovateľ ho prenajíma ďalším kyberzločincom za účelom distribúcie rôznych druhov malvéru. Po spustení PureCrypter načíta a doručí ďalšiu fázu užitočného zaťaženia zo servera Command-and-Control (C2, C&C). V tomto konkrétnom prípade bol server velenia a riadenia používaný aktérmi hrozby napadnutým serverom neziskovej organizácie.

Vzorka analyzovaná výskumníkmi bola AgentTesla, typ malvéru, ktorý zhromažďuje informácie z počítača obete. Po spustení AgentTesla nadviaže spojenie s pakistanským FTP serverom na odoslanie zozbieraných údajov. Zaujímavé je, že aktéri hrozby si nenastavili svoj vlastný FTP server, ale radšej použili uniknuté poverenia na prevzatie kontroly nad existujúcim serverom. Použitím už napadnutého servera znižujú riziko ich identifikácie a minimalizujú ich sledovanie.

Agent Tesla zostáva hrozivým kyberzločineckým nástrojom

AgentTesla je typ malvéru .NET, ktorý kyberzločinci používali posledných osem rokov, pričom jeho využitie kulminovalo koncom roka 2020 a začiatkom roka 2021. Napriek svojmu veku zostáva AgentTesla vysoko výkonným a nákladovo efektívnym zadným vrátkom, ktoré sa neustále sa v priebehu rokov vyvíjal a zlepšoval.

Jednou z kľúčových schopností AgentTesla je schopnosť zaznamenávať stlačenia klávesov obete, čo umožňuje kyberzločincom zachytiť citlivé informácie, ako sú heslá. Malvér môže tiež zhromažďovať heslá, ktoré sú uložené v FTP klientoch, webových prehliadačoch alebo e-mailových klientoch. Okrem toho môže AgentTesla zachytiť snímky pracovnej plochy obete, čo môže potenciálne odhaliť dôverné informácie. Môže tiež pristupovať a zachytávať akékoľvek údaje, ktoré sa skopírujú do schránky systému, vrátane textov, hesiel a údajov o kreditných kartách. Po zozbieraní môžu byť údaje exfiltrované na server Command and Control (C2) cez FTP alebo SMTP.

Pri útokoch PureCrypter použili aktéri hrozby techniku nazývanú „process hollowing“ na vloženie užitočného zaťaženia AgentTesla do legitímneho procesu nazývaného „cvtres.exe“. Táto technika pomáha vyhnúť sa detekcii z bezpečnostných nástrojov.

Aby bola zabezpečená komunikácia so serverom C2 a konfiguračné súbory pred odhalením nástrojmi na monitorovanie sieťovej prevádzky, AgentTesla používa šifrovanie XOR. Táto metóda šifrovania sťažuje bezpečnostným systémom detekciu komunikácie malvéru so serverom C2, čo z neho robí náročnú hrozbu na detekciu a zmiernenie.