มัลแวร์ AceCryptor

มีกรณีการติดเชื้อใหม่ ๆ จำนวนมากที่เชื่อมโยงกับเครื่องมือ AceCryptor ซึ่งบ่งชี้ถึงแนวโน้มที่เกี่ยวข้อง เครื่องมือนี้ได้รับความนิยมจากแฮกเกอร์เนื่องจากมีความสามารถในการอำพรางมัลแวร์และแทรกซึมระบบที่ไม่ถูกตรวจพบโดยการป้องกันมัลแวร์แบบเดิมๆ ได้ถูกนำมาใช้ในแคมเปญที่มุ่งเป้าไปที่องค์กรต่างๆ ทั่วยุโรป นักวิจัยที่ติดตามกิจกรรมของ AceCryptor มานานหลายปี สังเกตเห็นการเปลี่ยนแปลงที่ชัดเจนในแคมเปญล่าสุดนี้ ผู้โจมตีได้ขยายขอบเขตของโค้ดที่ถูกดัดแปลงให้กว้างขึ้นซึ่งรวมอยู่ในการโจมตีของพวกเขา ซึ่งต่างจากกรณีก่อนหน้านี้ ทำให้เกิดภัยคุกคามต่อเอนทิตีที่เป็นเป้าหมายมากขึ้น

AceCryptor ใช้สำหรับการส่งภัยคุกคามระยะสุดท้ายที่เป็นอันตราย

โดยทั่วไปแล้ว AceCryptor จะจับคู่กับมัลแวร์ เช่น Remcos หรือ Rescoms ซึ่งทำหน้าที่เป็นเครื่องมือเฝ้าระวังระยะไกลที่ทรงพลังซึ่งมักใช้ในการโจมตีองค์กรในยูเครน นอกจาก Remcos และ SmokeLoader ที่รู้จักกันดีแล้ว นักวิจัยยังพบว่า AceCryptor เผยแพร่มัลแวร์สายพันธุ์อื่นๆ รวมถึง STOP/Djvu Ransomware และ Vidar Stealer

นอกจากนี้ นักวิจัยยังพบรูปแบบที่แตกต่างกันในประเทศเป้าหมายอีกด้วย ในขณะที่ SmokeLoader มีส่วนเกี่ยวข้องกับการโจมตีในยูเครน แต่เหตุการณ์ในโปแลนด์ สโลวาเกีย บัลแกเรีย และเซอร์เบียก็มีการใช้ Remcos

ในแคมเปญที่จัดเตรียมอย่างพิถีพิถัน AceCryptor ได้รับการใช้ประโยชน์เพื่อกำหนดเป้าหมายหลายประเทศในยุโรป โดยมีเป้าหมายเพื่อดึงข้อมูลที่ละเอียดอ่อนหรือสร้างการเข้าถึงเบื้องต้นไปยังบริษัทต่างๆ การแพร่กระจายของมัลแวร์ในการโจมตีเหล่านี้มักเกิดขึ้นผ่านอีเมลขยะ ซึ่งบางส่วนก็น่าเชื่ออย่างมาก ในบางครั้ง บัญชีอีเมลที่ถูกกฎหมายถูกแย่งชิงและใช้ในทางที่ผิดเพื่อส่งข้อความที่ทำให้เข้าใจผิดเหล่านี้

วัตถุประสงค์หลักของการดำเนินการล่าสุดคือการได้รับข้อมูลอีเมลและเบราว์เซอร์ที่มีจุดประสงค์เพื่อการโจมตีบริษัทเป้าหมายเพิ่มเติม โดยเฉพาะอย่างยิ่ง เหตุการณ์ AceCryptor ที่บันทึกไว้ส่วนใหญ่ถือเป็นจุดเริ่มต้นของการประนีประนอมในการโจมตีเหล่านี้

เป้าหมายของ AceCryptor ได้เปลี่ยนไปตลอดปี 2023

ในช่วงหกเดือนของปี 2023 ประเทศที่ได้รับผลกระทบหลักจากมัลแวร์ที่บรรจุ AceCryptor ได้แก่ เปรู เม็กซิโก อียิปต์ และตุรกี โดยเปรูมีการโจมตีหนักถึง 4,700 ครั้ง อย่างไรก็ตาม ในการเปลี่ยนแปลงที่โดดเด่นในช่วงครึ่งหลังของปี แฮกเกอร์หันเหความสนใจไปที่ประเทศในยุโรป โดยเฉพาะโปแลนด์ ซึ่งมีการโจมตีมากกว่า 26,000 ครั้ง ยูเครน สเปน และเซอร์เบียก็ตกอยู่ภายใต้การโจมตีหลายพันครั้งเช่นกัน

ในช่วงครึ่งหลังของปี Rescoms กลายเป็นกลุ่มมัลแวร์หลักที่เผยแพร่ผ่าน AceCryptor โดยมีเหตุการณ์มากกว่า 32,000 เหตุการณ์ โปแลนด์มีสัดส่วนมากกว่าครึ่งหนึ่งของเหตุการณ์เหล่านี้ ตามมาด้วยเซอร์เบีย สเปน บัลแกเรีย และสโลวาเกีย

การโจมตีที่กำหนดเป้าหมายธุรกิจในโปแลนด์มีหัวข้อที่คล้ายกัน ซึ่งมักปลอมแปลงเป็นข้อเสนอ B2B ที่เกี่ยวข้องกับบริษัทที่ตกเป็นเหยื่อ แฮกเกอร์ใช้ชื่อบริษัทในโปแลนด์และข้อมูลระบุตัวตนของพนักงานที่มีอยู่ในอีเมลเพื่อให้เกิดความน่าเชื่อถือ แรงจูงใจเบื้องหลังการโจมตีเหล่านี้ยังคงคลุมเครือ ไม่แน่ใจว่าแฮกเกอร์มีเป้าหมายที่จะใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกขโมยไปเพื่อการใช้งานส่วนตัวหรือขายให้กับผู้คุกคามรายอื่น

ในปัจจุบัน หลักฐานที่มีอยู่ไม่สามารถระบุแหล่งที่มาของแคมเปญการโจมตีได้อย่างชัดเจน อย่างไรก็ตาม เป็นที่น่าสังเกตว่าแฮกเกอร์ที่เกี่ยวข้องกับรัฐบาลรัสเซียได้ว่าจ้าง Remcos และ SmokeLoader ในการดำเนินงานซ้ำแล้วซ้ำอีก