PureCrypter

Bir grup siber suçlu, PureCrypter adlı kötü amaçlı yazılım indiricisiyle Asya-Pasifik (APAC) ve Kuzey Amerika bölgelerindeki devlet kurumlarına saldırıyor. Saldırının arkasındaki siber suçlular, bu kuruluşların sistemlerine sızıp hassas bilgiler toplayabildiler veya bazı durumlarda fidye yazılımı kullanarak sistemlerini rehin alabildiler. Saldırının ciddiyeti, bu devlet kurumlarının genellikle hassas ve sınıflandırılmış bilgileri depolaması ve onları siber suçlular için birincil hedef haline getirmesi gerçeğiyle birleşiyor.

Güvenlik araştırmacıları, tehdit aktörlerinin ilk yükü barındırmak için Discord'u kullandıklarını ve ayrıca kampanyada kullanılan ek sunucuları toplamanın bir yolu olarak kar amacı gütmeyen bir organizasyonu tehlikeye attığını öğrendi. Bu, saldırganların kötü amaçlı yazılımın ilk yükünü dağıtmak için Discord gibi meşru bir platform kullandığı ve güvenlik sistemlerinin onu tespit edip engellemesini zorlaştırdığı anlamına gelir. Kötü amaçlı yazılımın , Redline Stealer, AgentTesla , Eternity , Blackmoon ve Philadelphia Ransomware dahil olmak üzere birkaç farklı kötü amaçlı yazılım türü yaymasıyla bilinir.

PureCrypter, Çok Aşamalı Saldırı Zincirinin Bir Parçasıdır

PureCrypter kötü amaçlı yazılım indiricisini kullanan saldırı, Discord uygulama URL'si içeren bir e-posta ile başlatılır. Bu URL, parola korumalı bir ZIP arşivinde bulunan bir PureCrypter örneğine yönlendirir. PureCrypter, .NET tabanlı sistemlerde çalışan bir kötü amaçlı yazılım indiricisidir. Operatörü, çeşitli kötü amaçlı yazılım türlerini dağıtmak amacıyla onu diğer siber suçlulara kiralar. PureCrypter çalıştırıldıktan sonra, bir Komuta ve Kontrol (C2, C&C) sunucusundan bir sonraki aşama yükünü alır ve sunar. Bu özel durumda, tehdit aktörleri tarafından kullanılan Komuta ve Kontrol sunucusu, kar amacı gütmeyen bir kuruluşun güvenliği ihlal edilmiş sunucusuydu.

Araştırmacılar tarafından analiz edilen örnek, kurbanın bilgisayarından bilgi toplayan bir tür kötü amaçlı yazılım olan AgentTesla idi. AgentTesla başlatıldığında, toplanan verileri göndermek için Pakistan merkezli bir FTP sunucusuyla bağlantı kurar. İlginç olan, tehdit aktörlerinin kendi FTP sunucularını kurmamaları, bunun yerine mevcut bir sunucunun kontrolünü ele geçirmek için sızdırılmış kimlik bilgilerini kullanmaları. Halihazırda güvenliği ihlal edilmiş bir sunucu kullanarak, tespit edilme risklerini azaltırlar ve izlerini en aza indirirler.

AgentTesla Tehditkar Bir Siber Suç Aracı Olarak Kalmaya Devam Ediyor

AgentTesla, siber suçlular tarafından son sekiz yıldır kullanılan ve 2020'nin sonlarında ve 2021'in başlarında zirveye ulaşan bir .NET kötü amaçlı yazılım türüdür. yıllar içinde geliştirildi ve geliştirildi.

AgentTesla'nın en önemli özelliklerinden biri, kurbanın tuş vuruşlarını günlüğe kaydederek siber suçluların parolalar gibi hassas bilgileri ele geçirmesine olanak sağlamasıdır. Kötü amaçlı yazılım, FTP istemcilerinde, Web tarayıcılarında veya e-posta istemcilerinde kayıtlı parolaları da toplayabilir. Ek olarak, AgentTesla kurbanın masaüstünden potansiyel olarak gizli bilgileri ifşa eden ekran görüntülerini yakalayabilir. Ayrıca, metinler, şifreler ve kredi kartı bilgileri dahil olmak üzere sistemin panosuna kopyalanan herhangi bir veriye erişebilir ve bunlara müdahale edebilir. Toplandıktan sonra, veriler FTP veya SMTP aracılığıyla Komuta ve Kontrol (C2) sunucusuna sızabilir.

PureCrypter saldırılarında, tehdit aktörleri, AgentTesla yükünü 'cvtres.exe' adlı yasal bir işleme enjekte etmek için "işlem boşaltma" adı verilen bir teknik kullandı. Bu teknik, güvenlik araçları tarafından tespit edilmekten kaçınmaya yardımcı olur.

AgentTesla, C2 sunucusuyla iletişimini ve yapılandırma dosyalarını ağ trafiği izleme araçları tarafından algılanmaktan korumak için XOR şifrelemesini kullanır. Bu şifreleme yöntemi, güvenlik sistemlerinin kötü amaçlı yazılımın C2 sunucusuyla iletişimini tespit etmesini zorlaştırarak, tespit edilmesi ve hafifletilmesi zor bir tehdit haline getirir.