PureCrypter

Một nhóm tội phạm mạng đã tấn công các tổ chức chính phủ ở khu vực Châu Á-Thái Bình Dương (APAC) và Bắc Mỹ bằng trình tải xuống phần mềm độc hại có tên PureCrypter. Tội phạm mạng đứng sau cuộc tấn công đã có thể xâm nhập vào hệ thống của các tổ chức này và thu thập thông tin nhạy cảm hoặc, trong một số trường hợp, bắt giữ hệ thống của họ làm con tin thông qua việc sử dụng mã độc tống tiền. Mức độ nghiêm trọng của cuộc tấn công được kết hợp bởi thực tế là các cơ quan chính phủ này thường lưu trữ thông tin nhạy cảm và được phân loại, khiến chúng trở thành mục tiêu hàng đầu của tội phạm mạng.

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng những kẻ đe dọa đã khai thác Discord để lưu trữ tải trọng ban đầu và cũng đã xâm phạm một tổ chức phi lợi nhuận như một cách để thu hút thêm các máy chủ được sử dụng trong chiến dịch. Điều này có nghĩa là những kẻ tấn công đã sử dụng một nền tảng hợp pháp như Discord để phân phối tải trọng ban đầu của phần mềm độc hại, khiến các hệ thống bảo mật khó phát hiện và chặn nó. Phần mềm độc hại được biết đến với việc cung cấp một số chủng phần mềm độc hại khác nhau, bao gồm Redline Stealer, AgentTesla , Eternity , Blackmoon và Philadelphia Ransomware .

PureCrypter là một phần của chuỗi tấn công nhiều giai đoạn

Cuộc tấn công sử dụng trình tải xuống phần mềm độc hại PureCrypter được bắt đầu bằng một email chứa URL ứng dụng Discord. URL này dẫn đến mẫu PureCrypter được chứa trong kho lưu trữ ZIP được bảo vệ bằng mật khẩu. PureCrypter là một trình tải xuống phần mềm độc hại hoạt động trên các hệ thống dựa trên .NET. Người điều hành nó cho tội phạm mạng khác thuê nó với mục đích phân phối các loại phần mềm độc hại khác nhau. Sau khi PureCrypter được thực thi, nó sẽ tìm nạp và phân phối tải trọng giai đoạn tiếp theo từ máy chủ Command-and-Control (C2, C&C). Trong trường hợp cụ thể này, máy chủ Chỉ huy và Kiểm soát được sử dụng bởi các tác nhân đe dọa là máy chủ bị xâm nhập của một tổ chức phi lợi nhuận.

Mẫu được các nhà nghiên cứu phân tích là AgentTesla, một loại phần mềm độc hại thu thập thông tin từ máy tính của nạn nhân. Sau khi khởi chạy, AgentTesla thiết lập kết nối với máy chủ FTP có trụ sở tại Pakistan để gửi dữ liệu đã thu thập. Điều thú vị là những kẻ đe dọa đã không thiết lập máy chủ FTP của riêng chúng mà sử dụng thông tin đăng nhập bị rò rỉ để kiểm soát máy chủ hiện có. Bằng cách sử dụng một máy chủ đã bị xâm phạm, họ giảm thiểu rủi ro bị nhận dạng và giảm thiểu dấu vết của chúng.

AgentTesla vẫn là một công cụ tội phạm mạng đe dọa

AgentTesla là một loại phần mềm độc hại .NET đã được tội phạm mạng sử dụng trong 8 năm qua, với mức sử dụng cao nhất vào cuối năm 2020 và đầu năm 2021. Bất chấp tuổi đời của nó, AgentTesla vẫn là một cửa hậu có khả năng cao và tiết kiệm chi phí liên tục phát triển và hoàn thiện qua các năm.

Một trong những khả năng chính của AgentTesla là khả năng ghi nhật ký các lần gõ phím của nạn nhân, cho phép tội phạm mạng nắm bắt thông tin nhạy cảm, chẳng hạn như mật khẩu. Phần mềm độc hại cũng có thể thu thập mật khẩu được lưu trong ứng dụng khách FTP, trình duyệt Web hoặc ứng dụng email. Ngoài ra, AgentTesla có thể chụp ảnh màn hình máy tính để bàn của nạn nhân, có khả năng tiết lộ thông tin bí mật. Nó cũng có thể truy cập và chặn bất kỳ dữ liệu nào được sao chép vào khay nhớ tạm của hệ thống, bao gồm văn bản, mật khẩu và chi tiết thẻ tín dụng. Sau khi được thu thập, dữ liệu có thể được lọc ra máy chủ Chỉ huy và Điều khiển (C2) thông qua FTP hoặc SMTP.

Trong các cuộc tấn công PureCrypter, những kẻ đe dọa đã sử dụng một kỹ thuật gọi là "xóa rỗng quy trình" để đưa tải trọng AgentTesla vào một quy trình hợp pháp có tên là 'cvtres.exe.' Kỹ thuật này giúp trốn tránh sự phát hiện từ các công cụ bảo mật.

Để giữ an toàn cho các liên lạc của nó với máy chủ C2 và các tệp cấu hình không bị các công cụ giám sát lưu lượng mạng phát hiện, AgentTesla sử dụng mã hóa XOR. Phương pháp mã hóa này khiến hệ thống bảo mật khó phát hiện giao tiếp của phần mềm độc hại với máy chủ C2, khiến nó trở thành một mối đe dọa khó phát hiện và giảm thiểu.