เพียวคริปเตอร์

อาชญากรไซเบอร์กลุ่มหนึ่งโจมตีหน่วยงานของรัฐในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือด้วยโปรแกรมดาวน์โหลดมัลแวร์ที่เรียกว่า PureCrypter อาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตีสามารถแทรกซึมเข้าไปในระบบขององค์กรเหล่านี้และรวบรวมข้อมูลที่ละเอียดอ่อน หรือในบางกรณีก็จับระบบของพวกเขาเป็นตัวประกันผ่านการใช้แรนซัมแวร์ ความรุนแรงของการโจมตีนั้นประกอบกับข้อเท็จจริงที่ว่าหน่วยงานของรัฐเหล่านี้มักจัดเก็บข้อมูลที่ละเอียดอ่อนและเป็นความลับ ทำให้เป็นเป้าหมายหลักสำหรับอาชญากรไซเบอร์

นักวิจัยด้านความปลอดภัยพบว่าผู้คุกคามใช้ประโยชน์จาก Discord เพื่อโฮสต์เพย์โหลดเริ่มต้น และยังบุกรุกองค์กรที่ไม่แสวงหาผลกำไรเพื่อรวบรวมโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ ซึ่งหมายความว่าผู้โจมตีใช้แพลตฟอร์มที่ถูกกฎหมายอย่าง Discord เพื่อกระจายเพย์โหลดเริ่มต้นของมัลแวร์ ทำให้ระบบรักษาความปลอดภัยตรวจจับและบล็อกได้ยาก มัลแวร์ดังกล่าวเป็นที่รู้จักในด้านการส่งมัลแวร์หลายสายพันธุ์ รวมถึง Redline Stealer, AgentTesla , Eternity , Blackmoon และ Philadelphia Ransomware

PureCrypter เป็นส่วนหนึ่งของห่วงโซ่การโจมตีแบบหลายขั้นตอน

การโจมตีที่ใช้เครื่องมือดาวน์โหลดมัลแวร์ PureCrypter เริ่มต้นจากอีเมลที่มี URL ของแอปพลิเคชัน Discord URL นี้นำไปสู่ตัวอย่าง PureCrypter ที่มีอยู่ในไฟล์ ZIP ที่มีการป้องกันด้วยรหัสผ่าน PureCrypter เป็นตัวดาวน์โหลดมัลแวร์ที่ทำงานบนระบบที่ใช้ .NET ผู้ดำเนินการให้เช่าอาชญากรไซเบอร์รายอื่นเพื่อจุดประสงค์ในการเผยแพร่มัลแวร์ประเภทต่างๆ เมื่อดำเนินการ PureCrypter แล้ว จะดึงและส่งมอบเพย์โหลดขั้นต่อไปจากเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ในกรณีเฉพาะนี้ เซิร์ฟเวอร์คำสั่งและการควบคุมที่ใช้โดยผู้คุกคามคือเซิร์ฟเวอร์ที่ถูกบุกรุกขององค์กรไม่แสวงหาผลกำไร

ตัวอย่างที่นักวิจัยวิเคราะห์คือ AgentTesla ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่รวบรวมข้อมูลจากคอมพิวเตอร์ของเหยื่อ เมื่อเปิดตัวแล้ว AgentTesla จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ของปากีสถานเพื่อส่งข้อมูลที่รวบรวมไว้ สิ่งที่น่าสนใจคือผู้คุกคามไม่ได้ตั้งค่าเซิร์ฟเวอร์ FTP ของตนเอง แต่ใช้ข้อมูลประจำตัวที่รั่วไหลเพื่อควบคุมเซิร์ฟเวอร์ที่มีอยู่ การใช้เซิร์ฟเวอร์ที่ถูกบุกรุกจะช่วยลดความเสี่ยงในการถูกระบุตัวตนและลดการติดตามให้เหลือน้อยที่สุด

AgentTesla ยังคงเป็นเครื่องมืออาชญากรไซเบอร์ที่คุกคาม

AgentTesla เป็นมัลแวร์ประเภท .NET ชนิดหนึ่งที่อาชญากรไซเบอร์ใช้ในช่วงแปดปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แม้จะมีอายุมากแล้ว แต่ AgentTesla ก็ยังคงเป็นแบ็คดอร์ที่มีความสามารถสูงและคุ้มราคาอย่างต่อเนื่อง พัฒนาและปรับปรุงในช่วงหลายปีที่ผ่านมา

ความสามารถหลักอย่างหนึ่งของ AgentTesla คือความสามารถในการบันทึกการกดแป้นพิมพ์ของเหยื่อ ทำให้อาชญากรไซเบอร์สามารถดักจับข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน มัลแวร์ยังอาจรวบรวมรหัสผ่านที่บันทึกไว้ในไคลเอ็นต์ FTP, เว็บเบราว์เซอร์ หรืออีเมลไคลเอ็นต์ นอกจากนี้ AgentTesla ยังสามารถจับภาพหน้าจอของเดสก์ท็อปของเหยื่อ ซึ่งอาจเปิดเผยข้อมูลที่เป็นความลับ นอกจากนี้ยังอาจเข้าถึงและสกัดกั้นข้อมูลใด ๆ ที่คัดลอกไปยังคลิปบอร์ดของระบบ รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิต เมื่อรวบรวมแล้ว ข้อมูลจะถูกกรองไปยังเซิร์ฟเวอร์ Command and Control (C2) ผ่านทาง FTP หรือ SMTP

ในการโจมตี PureCrypter ผู้คุกคามใช้เทคนิคที่เรียกว่า "กระบวนการกลวง" เพื่ออัดฉีด Payload ของ AgentTesla เข้าสู่กระบวนการที่เรียกว่า 'cvtres.exe' เทคนิคนี้ช่วยในการหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย

เพื่อรักษาความปลอดภัยในการสื่อสารกับเซิร์ฟเวอร์ C2 และไฟล์คอนฟิกูเรชันไม่ให้ถูกตรวจพบโดยเครื่องมือตรวจสอบการรับส่งข้อมูลเครือข่าย AgentTesla ใช้การเข้ารหัส XOR วิธีการเข้ารหัสนี้ทำให้ระบบรักษาความปลอดภัยตรวจจับการสื่อสารของมัลแวร์กับเซิร์ฟเวอร์ C2 ได้ยาก ทำให้เป็นภัยคุกคามที่ท้าทายในการตรวจจับและบรรเทา