PureCrypter
సైబర్ నేరగాళ్ల బృందం ఆసియా-పసిఫిక్ (APAC) మరియు ఉత్తర అమెరికా ప్రాంతాల్లోని ప్రభుత్వ సంస్థలపై PureCrypter అనే మాల్వేర్ డౌన్లోడ్తో దాడి చేస్తోంది. దాడి వెనుక ఉన్న సైబర్ నేరగాళ్లు ఈ సంస్థల వ్యవస్థల్లోకి చొరబడి సున్నితమైన సమాచారాన్ని సేకరించగలిగారు లేదా కొన్ని సందర్భాల్లో ransomwareని ఉపయోగించడం ద్వారా తమ సిస్టమ్ను బందీగా ఉంచగలిగారు. ఈ ప్రభుత్వ సంస్థలు తరచుగా సున్నితమైన మరియు వర్గీకృత సమాచారాన్ని భద్రపరుస్తాయి, ఇవి సైబర్ నేరగాళ్లకు ప్రధాన లక్ష్యాలుగా మారడం వల్ల దాడి యొక్క తీవ్రత పెరుగుతుంది.
బెదిరింపు నటులు ప్రారంభ పేలోడ్ను హోస్ట్ చేయడానికి డిస్కార్డ్ను ఉపయోగించుకున్నారని మరియు ప్రచారంలో ఉపయోగించిన అదనపు హోస్ట్లను సంపాదించడానికి ఒక లాభాపేక్షలేని సంస్థను కూడా రాజీ చేశారని భద్రతా పరిశోధకులు కనుగొన్నారు. మాల్వేర్ యొక్క ప్రారంభ పేలోడ్ను పంపిణీ చేయడానికి దాడి చేసేవారు డిస్కార్డ్ వంటి చట్టబద్ధమైన ప్లాట్ఫారమ్ను ఉపయోగించారని దీని అర్థం, భద్రతా వ్యవస్థలు దానిని గుర్తించడం మరియు నిరోధించడం కష్టతరం చేస్తుంది. మాల్వేర్ రెడ్లైన్ స్టీలర్, ఏజెంట్ టెస్లా , ఎటర్నిటీ , బ్లాక్మూన్ మరియు ఫిలడెల్ఫియా రాన్సమ్వేర్లతో సహా అనేక విభిన్న మాల్వేర్ జాతులను పంపిణీ చేయడానికి ప్రసిద్ధి చెందింది.
PureCrypter అనేది బహుళ-దశల దాడి గొలుసులో భాగం
PureCrypter మాల్వేర్ డౌన్లోడర్ను ఉపయోగించే దాడి డిస్కార్డ్ అప్లికేషన్ URLని కలిగి ఉన్న ఇమెయిల్తో ప్రారంభించబడుతుంది. ఈ URL పాస్వర్డ్-రక్షిత జిప్ ఆర్కైవ్లో ఉన్న PureCrypter నమూనాకు దారి తీస్తుంది. PureCrypter అనేది .NET-ఆధారిత సిస్టమ్లపై పనిచేసే మాల్వేర్ డౌన్లోడ్. వివిధ రకాల మాల్వేర్లను పంపిణీ చేసే ఉద్దేశ్యంతో దీని ఆపరేటర్ దానిని ఇతర సైబర్ నేరగాళ్లకు అద్దెకు ఇస్తాడు. PureCrypter అమలు చేయబడిన తర్వాత, అది కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్ నుండి తదుపరి-దశ పేలోడ్ను పొందుతుంది మరియు అందిస్తుంది. ఈ నిర్దిష్ట సందర్భంలో, బెదిరింపు నటులు ఉపయోగించే కమాండ్ మరియు కంట్రోల్ సర్వర్ లాభాపేక్ష లేని సంస్థ యొక్క రాజీపడిన సర్వర్.
పరిశోధకులు విశ్లేషించిన నమూనా ఏజెంట్ టెస్లా, బాధితుడి కంప్యూటర్ నుండి సమాచారాన్ని సేకరించే ఒక రకమైన మాల్వేర్. ప్రారంభించిన తర్వాత, సేకరించిన డేటాను పంపడానికి AgentTesla పాకిస్తాన్ ఆధారిత FTP సర్వర్కు కనెక్షన్ను ఏర్పాటు చేస్తుంది. ఆసక్తికరమైన విషయం ఏమిటంటే, బెదిరింపు నటులు వారి స్వంత FTP సర్వర్ని సెటప్ చేయలేదు కానీ ఇప్పటికే ఉన్నదానిని నియంత్రించడానికి లీకైన ఆధారాలను ఉపయోగించారు. ఇప్పటికే రాజీపడిన సర్వర్ని ఉపయోగించడం ద్వారా, వారు గుర్తించబడే ప్రమాదాలను తగ్గిస్తారు మరియు వారి జాడను తగ్గించుకుంటారు.
ఏజెంట్ టెస్లా బెదిరింపు సైబర్ నేర సాధనంగా మిగిలిపోయింది
AgentTesla అనేది ఒక రకమైన .NET మాల్వేర్, దీనిని సైబర్ నేరగాళ్లు గత ఎనిమిది సంవత్సరాలుగా ఉపయోగిస్తున్నారు, దీని వినియోగం 2020 చివరిలో మరియు 2021 ప్రారంభంలో గరిష్ట స్థాయికి చేరుకుంది. వయస్సు ఉన్నప్పటికీ, AgentTesla అనేది అత్యంత సామర్థ్యం మరియు తక్కువ ఖర్చుతో కూడిన బ్యాక్డోర్గా కొనసాగుతోంది. సంవత్సరాలుగా అభివృద్ధి చేయబడింది మరియు మెరుగుపరచబడింది.
ఏజెంట్టెస్లా యొక్క ముఖ్య సామర్థ్యాలలో ఒకటి బాధితుడి కీస్ట్రోక్లను లాగ్ చేయగల సామర్థ్యం, ఇది పాస్వర్డ్ల వంటి సున్నితమైన సమాచారాన్ని సంగ్రహించడానికి సైబర్ నేరస్థులను అనుమతిస్తుంది. FTP క్లయింట్లు, వెబ్ బ్రౌజర్లు లేదా ఇమెయిల్ క్లయింట్లలో సేవ్ చేయబడిన పాస్వర్డ్లను కూడా మాల్వేర్ సేకరించవచ్చు. అదనంగా, ఏజెంట్ టెస్లా బాధితుడి డెస్క్టాప్ స్క్రీన్షాట్లను క్యాప్చర్ చేయగలదు, రహస్య సమాచారాన్ని బహిర్గతం చేయగలదు. ఇది టెక్స్ట్లు, పాస్వర్డ్లు మరియు క్రెడిట్ కార్డ్ వివరాలతో సహా సిస్టమ్ క్లిప్బోర్డ్కు కాపీ చేయబడిన ఏదైనా డేటాను యాక్సెస్ చేయవచ్చు మరియు అడ్డగించవచ్చు. సేకరించిన తర్వాత, డేటాను FTP లేదా SMTP ద్వారా కమాండ్ అండ్ కంట్రోల్ (C2) సర్వర్కు ఎక్స్ఫిల్ట్ చేయవచ్చు.
PureCrypter దాడులలో, బెదిరింపు నటులు ఏజెంట్ టెస్లా పేలోడ్ను 'cvtres.exe' అనే చట్టబద్ధమైన ప్రక్రియలోకి ప్రవేశపెట్టడానికి "ప్రాసెస్ హోలోయింగ్" అనే సాంకేతికతను ఉపయోగించారు. ఈ సాంకేతికత భద్రతా సాధనాల నుండి గుర్తింపును తప్పించుకోవడానికి సహాయపడుతుంది.
నెట్వర్క్ ట్రాఫిక్ మానిటరింగ్ సాధనాల ద్వారా C2 సర్వర్ మరియు కాన్ఫిగరేషన్ ఫైల్లు గుర్తించబడకుండా దాని కమ్యూనికేషన్లను సురక్షితంగా ఉంచడానికి, AgentTesla XOR ఎన్క్రిప్షన్ని ఉపయోగిస్తుంది. ఈ ఎన్క్రిప్షన్ పద్ధతి C2 సర్వర్తో మాల్వేర్ కమ్యూనికేషన్ను గుర్తించడం భద్రతా వ్యవస్థలకు కష్టతరం చేస్తుంది, దీనిని గుర్తించడం మరియు తగ్గించడం సవాలుగా మారుతుంది.