PureCrypter

Група кіберзлочинців атакувала державні установи в Азіатсько-Тихоокеанському регіоні (APAC) і Північній Америці за допомогою завантажувача зловмисного програмного забезпечення під назвою PureCrypter. Кіберзлочинці, які стояли за атакою, змогли проникнути в системи цих організацій і зібрати конфіденційну інформацію або, у деяких випадках, зробити їхню систему заручником за допомогою програм-вимагачів. Серйозність атаки посилюється тим фактом, що ці державні установи часто зберігають конфіденційну та секретну інформацію, що робить їх основними цілями для кіберзлочинців.

Дослідники безпеки з’ясували, що зловмисники використовували Discord для розміщення початкового корисного навантаження, а також скомпрометували некомерційну організацію як спосіб отримати додаткові хости, які використовувалися в кампанії. Це означає, що зловмисники використовували законну платформу, як-от Discord, для розповсюдження початкового корисного навантаження зловмисного програмного забезпечення, що ускладнювало системам безпеки його виявлення та блокування. Зловмисне програмне забезпечення відоме тим, що доставляє кілька різних штамів шкідливого програмного забезпечення, включаючи Redline Stealer, AgentTesla , Eternity , Blackmoon і Philadelphia Ransomware .

PureCrypter є частиною багатоетапної ланцюга атак

Атака, яка використовує завантажувач шкідливих програм PureCrypter, ініціюється електронним листом, який містить URL-адресу програми Discord. Ця URL-адреса веде до зразка PureCrypter, який міститься в захищеному паролем архіві ZIP. PureCrypter — це завантажувач зловмисного програмного забезпечення, який працює в системах на основі .NET. Його оператор здає в оренду іншим кіберзлочинцям для розповсюдження різного роду шкідливих програм. Після запуску PureCrypter отримує та доставляє корисне навантаження наступного етапу з сервера командування та керування (C2, C&C). У цьому конкретному випадку сервер командування та керування, який використовували зловмисники, був скомпрометованим сервером некомерційної організації.

Зразком, який проаналізували дослідники, був AgentTesla, різновид шкідливого програмного забезпечення, яке збирає інформацію з комп’ютера жертви. Після запуску AgentTesla встановлює з’єднання з FTP-сервером у Пакистані для надсилання зібраних даних. Що цікаво, це те, що зловмисники не налаштували власний FTP-сервер, а використовували витік облікових даних, щоб отримати контроль над існуючим. Використовуючи вже скомпрометований сервер, вони зменшують ризик бути ідентифікованими та зводять до мінімуму їх слід.

AgentTesla залишається загрозливим інструментом кіберзлочинців

AgentTesla — це тип зловмисного програмного забезпечення .NET, який використовувався кіберзлочинцями протягом останніх восьми років, а пік його використання припав на кінець 2020 — початок 2021 року. Незважаючи на свій вік, AgentTesla залишається високопродуктивним і економічно ефективним бекдором, який постійно розвивався та вдосконалювався роками.

Однією з ключових можливостей AgentTesla є можливість реєструвати натискання клавіш жертви, що дозволяє кіберзлочинцям захоплювати конфіденційну інформацію, таку як паролі. Зловмисне програмне забезпечення також може збирати паролі, збережені в клієнтах FTP, веб-браузерах або клієнтах електронної пошти. Крім того, AgentTesla може робити скріншоти робочого столу жертви, потенційно відкриваючи конфіденційну інформацію. Він також може отримати доступ і перехопити будь-які дані, скопійовані в буфер обміну системи, включаючи тексти, паролі та дані кредитної картки. Після збору дані можуть бути відфільтровані на сервер командування та управління (C2) через FTP або SMTP.

Під час атак на PureCrypter зловмисники використовували техніку під назвою «вилучення процесу», щоб вставити корисне навантаження AgentTesla в законний процес під назвою «cvtres.exe». Ця техніка допомагає уникнути виявлення інструментами безпеки.

Щоб захистити зв’язок із сервером C2 і файли конфігурації від виявлення інструментами моніторингу мережевого трафіку, AgentTesla використовує шифрування XOR. Цей метод шифрування ускладнює системам безпеки виявлення зв’язку зловмисного програмного забезпечення з сервером C2, що робить його складною загрозою для виявлення та подолання.