ПуреЦриптер

Група сајбер криминалаца напада владине ентитете у регионима Азије и Пацифика (АПАЦ) и Северне Америке помоћу програма за преузимање малвера под називом ПуреЦриптер. Сајбер-криминалци који стоје иза напада били су у могућности да се инфилтрирају у системе ових организација и прикупе осетљиве информације или, у неким случајевима, држе свој систем као таоце коришћењем рансомваре-а. Озбиљност напада је отежана чињеницом да ови владини субјекти често чувају осетљиве и поверљиве информације, што их чини главним метама сајбер криминалаца.

Истраживачи безбедности су открили да су актери претњи искористили Дисцорд за хостовање почетног терета и такође компромитовали непрофитну организацију као начин да прикупе додатне хостове који се користе у кампањи. То значи да су нападачи користили легитимну платформу као што је Дисцорд за дистрибуцију почетног терета малвера, што отежава безбедносним системима да га открију и блокирају. Малвер је познат по томе што испоручује неколико различитих врста малвера, укључујући Редлине Стеалер, АгентТесла , Етернити , Блацкмоон и Пхиладелпхиа Рансомваре .

ПуреЦриптер је део вишестепеног ланца напада

Напад који користи програм за преузимање малвера ПуреЦриптер покреће се е-поштом која садржи УРЛ Дисцорд апликације. Ова УРЛ адреса води до узорка ПуреЦриптер који се налази у ЗИП архиви заштићеној лозинком. ПуреЦриптер је програм за преузимање малвера који ради на системима заснованим на .НЕТ-у. Његов оператер га изнајмљује другим сајбер криминалцима у сврху дистрибуције различитих врста малвера. Једном када се ПуреЦриптер изврши, он преузима и испоручује корисни терет следеће фазе са сервера за команду и контролу (Ц2, Ц&Ц). У овом конкретном случају, командни и контролни сервер који су користили актери претњи био је компромитовани сервер непрофитне организације.

Узорак који су анализирали истраживачи био је АгентТесла, врста малвера који прикупља информације са рачунара жртве. Једном када се покрене, АгентТесла успоставља везу са ФТП сервером у Пакистану за слање прикупљених података. Оно што је занимљиво јесте да актери претњи нису поставили сопствени ФТП сервер, већ су користили процуреле акредитиве да би преузели контролу над постојећим. Коришћењем већ компромитованог сервера, они смањују ризик да буду идентификовани и минимизирају њихов траг.

АгентТесла остаје опасно оруђе за сајбер криминал

АгентТесла је врста .НЕТ малвера који су користили сајбер-криминалци у последњих осам година, а његова употреба је достигла врхунац крајем 2020. и почетком 2021. Упркос старости, АгентТесла остаје веома способан и исплатив бацкдоор који је стално развијао и усавршавао током година.

Једна од кључних могућности АгентТесле је могућност евидентирања жртвиних притисака на тастере, омогућавајући сајбер криминалцима да ухвате осетљиве информације, као што су лозинке. Малвер такође може да прикупља лозинке које се чувају у ФТП клијентима, веб прегледачима или клијентима е-поште. Поред тога, АгентТесла може да сними снимке екрана жртве, потенцијално откривајући поверљиве информације. Такође може да приступи и пресреће све податке који се копирају у клипборд система, укључујући текстове, лозинке и детаље о кредитној картици. Када се прикупе, подаци се могу ексфилтрирати на сервер за команду и контролу (Ц2) преко ФТП-а или СМТП-а.

У нападима ПуреЦриптер-а, актери претњи су користили технику звану „удубљење процеса“ да би убацили АгентТесла корисни терет у легитиман процес назван „цвтрес.еке“. Ова техника помаже да се избегне откривање од безбедносних алата.

Да би заштитио своју комуникацију са Ц2 сервером и конфигурационе датотеке од откривања алата за праћење мрежног саобраћаја, АгентТесла користи КСОР енкрипцију. Овај метод шифровања отежава безбедносним системима да открију комуникацију малвера са Ц2 сервером, што га чини изазовном претњом за откривање и ублажавање.