PureCrypter

Skupina kibernetskih kriminalcev napada vladne subjekte v azijsko-pacifiški (APAC) in severnoameriški regiji s prenosnikom zlonamerne programske opreme, imenovanim PureCrypter. Kibernetski kriminalci, ki stojijo za napadom, so se lahko infiltrirali v sisteme teh organizacij in zbrali občutljive informacije ali v nekaterih primerih njihov sistem zadržali kot talca z uporabo izsiljevalske programske opreme. Resnost napada še povečuje dejstvo, da ti vladni subjekti pogosto hranijo občutljive in zaupne podatke, zaradi česar so glavne tarče kibernetskih kriminalcev.

Varnostni raziskovalci so ugotovili, da so akterji groženj izkoristili Discord za gostovanje začetnega tovora in ogrozili tudi neprofitno organizacijo kot način pridobivanja dodatnih gostiteljev, uporabljenih v kampanji. To pomeni, da so napadalci uporabili zakonito platformo, kot je Discord, za distribucijo začetnega tovora zlonamerne programske opreme, kar varnostnim sistemom otežuje odkrivanje in blokiranje. Zlonamerna programska oprema je znana po zagotavljanju več različnih vrst zlonamerne programske opreme, vključno z Redline Stealer, AgentTesla , Eternity , Blackmoon in Philadelphia Ransomware .

PureCrypter je del večstopenjske verige napadov

Napad, ki uporablja prenosnik zlonamerne programske opreme PureCrypter, se začne z e-poštnim sporočilom, ki vsebuje URL aplikacije Discord. Ta URL vodi do vzorca PureCrypter, ki je v arhivu ZIP, zaščitenem z geslom. PureCrypter je prenosnik zlonamerne programske opreme, ki deluje v sistemih, ki temeljijo na .NET. Njegov operater ga daje v najem drugim kiberkriminalcem za distribucijo različnih vrst zlonamerne programske opreme. Ko se PureCrypter izvede, pridobi in dostavi koristni tovor naslednje stopnje iz strežnika za ukazovanje in nadzor (C2, C&C). V tem posebnem primeru je bil strežnik za ukaze in nadzor, ki so ga uporabili akterji groženj, ogroženi strežnik neprofitne organizacije.

Vzorec, ki so ga analizirali raziskovalci, je bil AgentTesla, vrsta zlonamerne programske opreme, ki zbira informacije iz računalnika žrtve. Po zagonu AgentTesla vzpostavi povezavo s FTP strežnikom v Pakistanu za pošiljanje zbranih podatkov. Zanimivo je, da akterji groženj niso vzpostavili lastnega FTP strežnika, ampak so raje uporabili razkrite poverilnice, da bi prevzeli nadzor nad obstoječim. Z uporabo že ogroženega strežnika zmanjšajo tveganje, da bi bili identificirani, in minimizirajo njihovo sled.

AgentTesla ostaja nevarno orodje kibernetskega kriminala

AgentTesla je vrsta zlonamerne programske opreme .NET, ki so jo kibernetski kriminalci uporabljali zadnjih osem let, njena uporaba pa je dosegla vrhunec konec leta 2020 in v začetku leta 2021. Kljub svoji starosti ostaja AgentTesla zelo zmogljiva in stroškovno učinkovita stranska vrata, ki so bila nenehno z leti razvijal in izboljševal.

Ena od ključnih zmogljivosti AgentTesla je zmožnost beleženja pritiskov tipk žrtve, ki kibernetskim kriminalcem omogoča zajemanje občutljivih informacij, kot so gesla. Zlonamerna programska oprema lahko zbira tudi gesla, ki so shranjena v odjemalcih FTP, spletnih brskalnikih ali e-poštnih odjemalcih. Poleg tega lahko AgentTesla zajame posnetke zaslona žrtvinega namizja, kar lahko razkrije zaupne informacije. Prav tako lahko dostopa in prestreže vse podatke, ki so kopirani v odložišče sistema, vključno z besedili, gesli in podatki o kreditni kartici. Ko so podatki zbrani, jih je mogoče prek FTP ali SMTP prenesti na strežnik za upravljanje in nadzor (C2).

V napadih PureCrypter so akterji groženj uporabili tehniko, imenovano "process hollowing", za vbrizgavanje koristnega tovora AgentTesla v zakonit proces, imenovan "cvtres.exe". Ta tehnika pomaga preprečiti odkrivanje varnostnih orodij.

Da bi zaščitil svojo komunikacijo s strežnikom C2 in konfiguracijske datoteke pred zaznavanjem orodij za spremljanje omrežnega prometa, AgentTesla uporablja šifriranje XOR. Ta metoda šifriranja otežuje varnostnim sistemom zaznavanje komunikacije zlonamerne programske opreme s strežnikom C2, zaradi česar je težko odkriti in ublažiti grožnjo.