PureCrypter
Isang grupo ng mga cybercriminal ang umaatake sa mga entidad ng gobyerno sa mga rehiyon ng Asia-Pacific (APAC) at North America gamit ang malware downloader na tinatawag na PureCrypter. Ang mga cybercriminal sa likod ng pag-atake ay nagawang makalusot sa mga sistema ng mga organisasyong ito at mangolekta ng sensitibong impormasyon o, sa ilang mga kaso, i-hostage ang kanilang system sa pamamagitan ng paggamit ng ransomware. Ang kalubhaan ng pag-atake ay pinalubha ng katotohanan na ang mga entidad ng gobyerno na ito ay madalas na nag-iimbak ng sensitibo at classified na impormasyon, na ginagawa silang pangunahing mga target para sa mga cybercriminal.
Nalaman ng mga mananaliksik sa seguridad na sinamantala ng mga banta ng aktor ang Discord para i-host ang paunang kargamento at nakompromiso rin ang isang non-profit na organisasyon bilang paraan upang makakuha ng mga karagdagang host na ginamit sa campaign. Nangangahulugan ito na ang mga umaatake ay gumamit ng isang lehitimong platform tulad ng Discord upang ipamahagi ang paunang kargamento ng malware, na ginagawang mahirap para sa mga sistema ng seguridad na makita at harangan ito. Ang malware ay kilala sa paghahatid ng maraming iba't ibang strain ng malware, kabilang ang Redline Stealer, AgentTesla , Eternity , Blackmoon at ang Philadelphia Ransomware .
Ang PureCrypter ay Bahagi ng Multi-Stage Attack Chain
Ang pag-atake na gumagamit ng PureCrypter malware downloader ay sinimulan sa isang email na naglalaman ng Discord application URL. Ang URL na ito ay humahantong sa isang PureCrypter sample na nasa loob ng isang ZIP archive na protektado ng password. Ang PureCrypter ay isang malware downloader na gumagana sa .NET-based na mga system. Pinaupahan ito ng operator nito sa iba pang mga cybercriminal para sa layunin ng pamamahagi ng iba't ibang uri ng malware. Kapag naisakatuparan na ang PureCrypter, kinukuha at inihahatid nito ang susunod na yugto ng payload mula sa isang server ng Command-and-Control (C2, C&C). Sa partikular na kaso na ito, ang Command and Control server na ginagamit ng mga banta ng aktor ay ang nakompromisong server ng isang non-profit na organisasyon.
Ang sample na sinuri ng mga mananaliksik ay ang AgentTesla, isang uri ng malware na nangongolekta ng impormasyon mula sa computer ng biktima. Sa sandaling inilunsad, ang AgentTesla ay nagtatatag ng isang koneksyon sa isang FTP server na nakabase sa Pakistan upang ipadala ang nakolektang data. Ang kawili-wili ay hindi nag-set up ang mga aktor ng pagbabanta ng kanilang sariling FTP server ngunit sa halip ay gumamit ng mga leaked na kredensyal upang kontrolin ang isang umiiral na. Sa pamamagitan ng paggamit ng isang nakompromisong server, binabawasan nila ang mga panganib na makilala at pinaliit ang kanilang bakas.
Ang AgentTesla ay Nananatiling Isang Nagbabantang Cybercriminal Tool
Ang AgentTesla ay isang uri ng .NET malware na ginamit ng mga cybercriminal sa nakalipas na walong taon, na ang paggamit nito ay tumataas sa huling bahagi ng 2020 at unang bahagi ng 2021. Sa kabila ng edad nito, ang AgentTesla ay nananatiling may mataas na kakayahan at cost-effective na backdoor na patuloy na binuo at napabuti sa paglipas ng mga taon.
Ang isa sa mga pangunahing kakayahan ng AgentTesla ay ang kakayahang i-log ang mga keystroke ng biktima, na nagpapahintulot sa mga cybercriminal na kumuha ng sensitibong impormasyon, tulad ng mga password. Ang malware ay maaari ring mangolekta ng mga password na naka-save sa mga FTP client, Web browser o email client. Bilang karagdagan, maaaring makuha ng AgentTesla ang mga screenshot ng desktop ng biktima, na posibleng magbunyag ng kumpidensyal na impormasyon. Maaari rin nitong i-access at harangin ang anumang data na kinopya sa clipboard ng system, kabilang ang mga text, password, at mga detalye ng credit card. Kapag nakolekta, ang data ay maaaring i-exfiltrate sa Command and Control (C2) server sa pamamagitan ng FTP o SMTP.
Sa mga pag-atake ng PureCrypter, gumamit ang mga banta ng aktor ng pamamaraan na tinatawag na "process hollowing" upang maipasok ang AgentTesla payload sa isang lehitimong proseso na tinatawag na 'cvtres.exe.' Nakakatulong ang diskarteng ito upang maiwasan ang pagtuklas mula sa mga tool sa seguridad.
Upang mapanatiling ligtas ang mga komunikasyon nito sa C2 server at mga configuration file mula sa pag-detect ng network traffic monitoring tool, ginagamit ng AgentTesla ang XOR encryption. Ang paraan ng pag-encrypt na ito ay nagpapahirap para sa mga sistema ng seguridad na matukoy ang komunikasyon ng malware sa C2 server, na ginagawa itong isang mapaghamong banta upang matukoy at mapagaan.
