تستغل شركة Rescoms موجات البريد العشوائي من AceCryptor

في العام الماضي نشرت ESET أ مدونة حول AceCryptor - واحدة من أكثر برامج التشفير كخدمة (CaaS) شهرة وانتشارًا والتي تعمل منذ عام 2016. للنصف الأول من عام 1 نشرنا إحصائيات من القياس عن بعد لدينا، والتي وفقًا لها استمرت الاتجاهات من الفترات السابقة دون تغييرات جذرية.

ومع ذلك، في النصف الثاني من عام 2، سجلنا تغييرًا كبيرًا في كيفية استخدام AceCryptor. لم نشاهد فقط ونمنع أكثر من ضعف الهجمات في النصف الثاني من عام 2023 مقارنة بالنصف الأول من عام 2، ولكننا لاحظنا أيضًا أن شركة Rescoms (المعروفة أيضًا باسم Remcos) بدأت في استخدام AceCryptor، وهو ما لم يكن هو الحال مسبقًا.

تم استخدام الغالبية العظمى من عينات Rescoms RAT المعبأة في AceCryptor كناقل تسوية أولي في حملات البريد العشوائي المتعددة التي تستهدف الدول الأوروبية بما في ذلك بولندا وسلوفاكيا وبلغاريا وصربيا.

النقاط الرئيسية لهذه المدونة:

• واصلت AceCryptor تقديم خدمات التعبئة لعشرات عائلات البرامج الضارة المعروفة جدًا في النصف الثاني من عام 2.
• على الرغم من شهرة منتجات AceCryptor في مجال الأمن، إلا أن انتشارها لا يظهر مؤشرات على التراجع: بل على العكس من ذلك، زاد عدد الهجمات بشكل ملحوظ بسبب حملات Rescoms.
• AceCryptor هو برنامج تشفير مختار من قبل جهات التهديد التي تستهدف بلدانًا وأهدافًا محددة (على سبيل المثال، الشركات في بلد معين).
• في النصف الثاني من عام 2، اكتشفت ESET حملات AceCryptor+Rescoms المتعددة في الدول الأوروبية، وخاصة بولندا وبلغاريا وإسبانيا وصربيا.
• قام ممثل التهديد الذي يقف وراء هذه الحملات في بعض الحالات بإساءة استخدام الحسابات المخترقة لإرسال رسائل بريد إلكتروني غير مرغوب فيها لجعلها تبدو ذات مصداقية قدر الإمكان.
• كان الهدف من حملات البريد العشوائي هو الحصول على بيانات الاعتماد المخزنة في المتصفحات أو عملاء البريد الإلكتروني، والتي في حالة التوصل إلى حل وسط ناجح من شأنها أن تفتح احتمالات لمزيد من الهجمات.

AceCryptor في النصف الثاني من عام 2

في النصف الأول من عام 2023، قامت ESET بحماية حوالي 13,000 مستخدم من البرامج الضارة المعبأة بـ AceCryptor. في النصف الثاني من العام، كانت هناك زيادة هائلة في انتشار البرامج الضارة المعبأة بـ AceCryptor في البرية، مع تضاعف اكتشافاتنا ثلاث مرات، مما أدى إلى حماية أكثر من 42,000 من مستخدمي ESET حول العالم. كما هو موضح في الشكل 1، اكتشفنا موجات مفاجئة متعددة من انتشار البرامج الضارة. تُظهر هذه الارتفاعات حملات بريد عشوائي متعددة تستهدف الدول الأوروبية حيث قام AceCryptor بتعبئة Rescoms RAT (تمت مناقشته أكثر في حملات ريسكوم الجزء).

علاوة على ذلك، عندما نقارن العدد الأولي للعينات: في النصف الأول من عام 2023، اكتشفت إسيت أكثر من 23,000 عينة ضارة فريدة من نوعها من AceCryptor؛ وفي النصف الثاني من عام 2023، رأينا واكتشفنا "فقط" أكثر من 17,000 عينة فريدة. وعلى الرغم من أن هذا قد يكون غير متوقع، إلا أنه بعد إلقاء نظرة فاحصة على البيانات هناك تفسير معقول. استخدمت حملات البريد العشوائي الخاصة بشركة Rescoms نفس الملف (الملفات) الضارة في حملات البريد الإلكتروني المرسلة إلى عدد أكبر من المستخدمين، مما أدى إلى زيادة عدد الأشخاص الذين واجهوا البرامج الضارة، مع الحفاظ على عدد الملفات المختلفة منخفضًا. لم يحدث هذا في الفترات السابقة حيث لم يتم استخدام Rescoms أبدًا مع AceCryptor. سبب آخر لانخفاض عدد العينات الفريدة هو أن بعض العائلات الشهيرة توقفت على ما يبدو (أو توقفت تقريبًا) عن استخدام AceCryptor كخدمة CaaS. ومن الأمثلة على ذلك برنامج Danabot الخبيث الذي توقف عن استخدام AceCryptor؛ وأيضًا برنامج RedLine Stealer البارز الذي توقف مستخدموه عن استخدام AceCryptor بنفس القدر، استنادًا إلى انخفاض أكبر من 60% في عينات AceCryptor التي تحتوي على تلك البرامج الضارة.

كما هو موضح في الشكل 2، لا يزال AceCryptor يوزع، بصرف النظر عن Rescoms، عينات من العديد من عائلات البرامج الضارة المختلفة، مثل SmokeLoader وSTOP ransomware وVidarsteer.

في النصف الأول من عام 2023، كانت البلدان الأكثر تأثراً بالبرامج الضارة المعبأة بواسطة AceCryptor هي البيرو والمكسيك ومصر وتركيا، حيث شهدت بيرو، التي يبلغ عددها 4,700، أكبر عدد من الهجمات. غيرت حملات البريد العشوائي التي قامت بها شركة Rescoms هذه الإحصائيات بشكل كبير في النصف الثاني من العام. كما هو موضح في الشكل 3، أثرت البرامج الضارة المعبأة بـ AceCryptor في الغالب على الدول الأوروبية. إلى حد بعيد، الدولة الأكثر تضرراً هي بولندا، حيث منعت شركة ESET أكثر من 26,000 هجمة؛ ويلي ذلك أوكرانيا وإسبانيا وصربيا. ومن الجدير بالذكر أنه في كل من هذه البلدان، منعت منتجات ESET هجمات أكثر مما كانت عليه في الدولة الأكثر تضرراً في النصف الأول من عام 1، وهي بيرو.

غالبًا ما تحتوي عينات AceCryptor التي لاحظناها في H2 على عائلتين من البرامج الضارة كحمولة: Rescoms وSmokeLoader. كان سبب الارتفاع في أوكرانيا هو SmokeLoader. وقد سبق ذكر هذه الحقيقة من قبل مجلس الأمن القومي الأوكراني. من ناحية أخرى، في بولندا وسلوفاكيا وبلغاريا وصربيا، كان النشاط المتزايد ناتجًا عن احتواء AceCryptor على Rescoms كحمولة نهائية.

حملات ريسكوم

في النصف الأول من عام 2023، شهدنا في القياس عن بعد لدينا أقل من مائة حادثة لعينات AceCryptor التي تحتوي على Rescoms بداخلها. خلال النصف الثاني من العام، أصبحت Rescoms عائلة البرامج الضارة الأكثر انتشارًا التي تحتوي على AceCryptor، مع أكثر من 32,000 زيارة. وقد حدث أكثر من نصف هذه المحاولات في بولندا، تليها صربيا وإسبانيا وبلغاريا وسلوفاكيا (الشكل 4).

الحملات في بولندا

بفضل قياس ESET عن بعد، تمكنا من ملاحظة ثماني حملات كبيرة من البريد العشوائي تستهدف بولندا في النصف الثاني من عام 2. وكما هو موضح في الشكل 2023، حدث معظمها في سبتمبر، ولكن كانت هناك أيضًا حملات في أغسطس وديسمبر.

في المجمل، سجلت إسيت أكثر من 26,000 من هذه الهجمات في بولندا خلال هذه الفترة. استهدفت جميع حملات البريد العشوائي الشركات في بولندا وكانت جميع رسائل البريد الإلكتروني تحتوي على سطور موضوعات متشابهة جدًا حول عروض B2B للشركات الضحية. لكي يبدو الأمر قابلاً للتصديق قدر الإمكان، قام المهاجمون بدمج الحيل التالية في رسائل البريد الإلكتروني العشوائية:

• عناوين البريد الإلكتروني التي كانوا يرسلون بها رسائل بريد إلكتروني غير مرغوب فيها من المجالات المقلدة لشركات أخرى. استخدم المهاجمون نطاق TLD مختلفًا، وقاموا بتغيير حرف في اسم الشركة أو ترتيب الكلمات في حالة اسم الشركة متعدد الكلمات (تُعرف هذه التقنية باسم typosquatting).
• والجدير بالذكر هو أن الحملات المتعددة المعنية حل وسط البريد الإلكتروني للأعمال - أساء المهاجمون استخدام حسابات البريد الإلكتروني التي تم اختراقها سابقًا لموظفي الشركة الآخرين لإرسال رسائل بريد إلكتروني غير مرغوب فيها. وبهذه الطريقة، حتى لو بحثت الضحية المحتملة عن العلامات الحمراء المعتادة، فإنها لم تكن موجودة، وبدا البريد الإلكتروني شرعيًا قدر الإمكان.

أجرى المهاجمون أبحاثهم واستخدموا أسماء الشركات البولندية الحالية وحتى أسماء الموظفين/المالكين الحاليين ومعلومات الاتصال عند التوقيع على رسائل البريد الإلكتروني هذه. تم ذلك بحيث يكون البحث ناجحًا في حالة محاولة الضحية البحث عن اسم المرسل عبر Google، مما قد يؤدي إلى فتح المرفق الضار.

• كان محتوى رسائل البريد الإلكتروني العشوائية في بعض الحالات أبسط ولكنه في كثير من الحالات (مثل المثال في الشكل 6) كان معقدًا للغاية. وينبغي اعتبار هذه الإصدارات الأكثر تفصيلاً خطيرة على وجه الخصوص لأنها تنحرف عن النمط القياسي للنص العام، والذي غالبًا ما يكون مليئًا بالأخطاء النحوية.

يحتوي البريد الإلكتروني الموضح في الشكل 6 على رسالة تليها معلومات حول معالجة المعلومات الشخصية التي قام بها المرسل المزعوم وإمكانية "الوصول إلى محتوى بياناتك والحق في تصحيح قيود المعالجة وحذفها والحد منها والحق في نقل البيانات والحق في رفع الاعتراض والحق في تقديم شكوى إلى السلطة الإشرافية ". ويمكن ترجمة الرسالة نفسها على النحو التالي:

سيدي العزيز،

أنا سيلويستر [تم حجبه] من [تم حجبه]. تمت التوصية بشركتك لنا من قبل شريك تجاري. يرجى ذكر قائمة الطلبات المرفقة. يرجى أيضًا إعلامنا بشروط الدفع.

ونحن نتطلع إلى ردكم ومزيد من المناقشة.

-

تحياتي الحارة،

تبدو المرفقات في جميع الحملات متشابهة تمامًا (الشكل 7). تحتوي رسائل البريد الإلكتروني على أرشيف مرفق أو ملف ISO يسمى العرض/الاستفسار (باللغة البولندية بالطبع)، وفي بعض الحالات يكون مصحوبًا أيضًا برقم الطلب. يحتوي هذا الملف على ملف AceCryptor قابل للتنفيذ والذي قام بفك ضغط Rescoms وتشغيله.

واستنادًا إلى سلوك البرامج الضارة، نفترض أن الهدف من هذه الحملات هو الحصول على بيانات اعتماد البريد الإلكتروني والمتصفح، وبالتالي الوصول الأولي إلى الشركات المستهدفة. في حين أنه من غير المعروف ما إذا كان قد تم جمع بيانات الاعتماد للمجموعة التي نفذت هذه الهجمات أو ما إذا كانت بيانات الاعتماد المسروقة هذه سيتم بيعها لاحقًا إلى جهات تهديد أخرى، فمن المؤكد أن التسوية الناجحة تفتح إمكانية حدوث المزيد من الهجمات، خاصة من تلك التي تحظى بشعبية كبيرة حاليًا. هجمات برامج الفدية.

من المهم الإشارة إلى أنه يمكن شراء Rescoms RAT؛ وبالتالي فإن العديد من الجهات التهديدية تستخدمه في عملياتها. لا ترتبط هذه الحملات فقط من خلال التشابه المستهدف، أو بنية المرفقات، أو رسائل البريد الإلكتروني النصية، أو الحيل والتقنيات المستخدمة لخداع الضحايا المحتملين، ولكن أيضًا من خلال بعض الخصائص الأقل وضوحًا. وفي البرمجيات الخبيثة نفسها، تمكنا من العثور على عناصر (على سبيل المثال، معرف ترخيص Rescoms) التي تربط تلك الحملات معًا، مما يكشف أن العديد من هذه الهجمات تم تنفيذها من قبل جهة تهديد واحدة.

حملات في سلوفاكيا وبلغاريا وصربيا

خلال نفس الفترات الزمنية للحملات في بولندا، سجلت قياسات ESET أيضًا حملات مستمرة في سلوفاكيا وبلغاريا وصربيا. استهدفت هذه الحملات أيضًا الشركات المحلية بشكل أساسي، ويمكننا أيضًا العثور على عناصر في البرامج الضارة نفسها تربط هذه الحملات بنفس جهة التهديد التي نفذت الحملات في بولندا. الشيء المهم الوحيد الذي تغير هو بالطبع اللغة المستخدمة في رسائل البريد الإلكتروني العشوائية لتكون مناسبة لتلك البلدان المحددة.

الحملات في اسبانيا

وبصرف النظر عن الحملات المذكورة سابقًا، شهدت إسبانيا أيضًا موجة من رسائل البريد الإلكتروني العشوائية مع شركة Rescoms باعتبارها الحمولة النهائية. على الرغم من أننا نستطيع أن نؤكد أن واحدة على الأقل من الحملات تم تنفيذها من قبل نفس جهة التهديد كما في هذه الحالات السابقة، إلا أن الحملات الأخرى اتبعت نمطًا مختلفًا إلى حد ما. علاوة على ذلك، حتى القطع الأثرية التي كانت هي نفسها في الحالات السابقة اختلفت في هذه الحالات، ولهذا السبب، لا يمكننا أن نستنتج أن الحملات في إسبانيا نشأت من نفس المكان.

وفي الختام

خلال النصف الثاني من عام 2023، اكتشفنا تحولًا في استخدام AceCryptor – وهو برنامج تشفير شائع يستخدمه العديد من الجهات الفاعلة في مجال التهديد لحزم العديد من عائلات البرامج الضارة. على الرغم من انخفاض معدل انتشار بعض عائلات البرامج الضارة مثل RedLine Stealer، إلا أن جهات التهديد الأخرى بدأت في استخدامه أو استخدمته بشكل أكبر في أنشطتها ولا يزال AceCryptor قويًا. وفي هذه الحملات، تم استخدام AceCryptor لاستهداف دول أوروبية متعددة، ولاستخراج المعلومات. أو الوصول الأولي إلى شركات متعددة. تم توزيع البرامج الضارة في هذه الهجمات عبر رسائل البريد الإلكتروني العشوائية، والتي كانت في بعض الحالات مقنعة تمامًا؛ وفي بعض الأحيان، تم إرسال البريد العشوائي من حسابات بريد إلكتروني مشروعة ولكن تم إساءة استخدامها. نظرًا لأن فتح المرفقات من رسائل البريد الإلكتروني هذه يمكن أن يكون له عواقب وخيمة عليك أو على شركتك، فإننا ننصحك بأن تكون على دراية بما تفتحه وأن تستخدم برنامج أمان نقطة النهاية الموثوق به والقادر على اكتشاف البرامج الضارة.

لأية استفسارات حول بحثنا المنشور على WeLiveSecurity ، يرجى الاتصال بنا على التهديدintel@eset.com.
تقدم ESET Research تقارير استخباراتية خاصة لـ APT وموجزات بيانات. لأية استفسارات حول هذه الخدمة ، قم بزيارة استخبارات التهديدات من إسيت .

شركات النفط العالمية

يمكن العثور على قائمة شاملة بمؤشرات التسوية (IoCs) في موقعنا مستودع جيثب.

ملفات

SHA-1	اسم الملف	كشف	الوصف
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/كريبتيك.HVOB	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في صربيا خلال شهر ديسمبر 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/كريبتيك.HUNX	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال شهر سبتمبر 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/كريبتيك.HUMX	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا وبلغاريا خلال شهر سبتمبر 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/كريبتيك.HUMX	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في صربيا خلال شهر سبتمبر 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بلغاريا خلال شهر سبتمبر 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/كريبتيك.HUMI	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال أغسطس 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/كريبتيك.HUMF	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في صربيا خلال أغسطس 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/كريبتيك.HUMF	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بلغاريا خلال أغسطس 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في سلوفاكيا خلال أغسطس 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بلغاريا خلال شهر ديسمبر 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال شهر سبتمبر 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/كريبتيك.HUNC	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال شهر سبتمبر 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	زاموييني_ andre.7z	Win32/Kryptik.HUOZ	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال شهر سبتمبر 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في صربيا خلال شهر سبتمبر 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/كريبتيك.HVOB	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال شهر ديسمبر 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień و szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في بولندا خلال شهر سبتمبر 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	بيديدو.iso	Win32/كريبتيك.HUMF	مرفقات ضارة من حملة البريد العشوائي التي تم تنفيذها في إسبانيا خلال أغسطس 2023.

تقنيات MITER ATT & CK

تم بناء هذا الجدول باستخدام إصدار 14 من إطار MITER ATT & CK.

تكتيك	ID	الاسم	الوصف
استطلاع	T1589.002	جمع معلومات هوية الضحية: عناوين البريد الإلكتروني	تم استخدام عناوين البريد الإلكتروني ومعلومات الاتصال (سواء التي تم شراؤها أو جمعها من مصادر متاحة للعامة) في حملات التصيد الاحتيالي لاستهداف الشركات عبر بلدان متعددة.
تنمية الموارد	T1586.002	حسابات الاختراق: حسابات البريد الإلكتروني	استخدم المهاجمون حسابات بريد إلكتروني مخترقة لإرسال رسائل بريد إلكتروني تصيدية في حملات البريد العشوائي لزيادة مصداقية البريد الإلكتروني العشوائي.
	T1588.001	الحصول على القدرات: البرامج الضارة	قام المهاجمون بشراء واستخدام AceCryptor وRescoms في حملات التصيد الاحتيالي.
الوصول الأولي	T1566	التصيد	استخدم المهاجمون رسائل تصيد تحتوي على مرفقات ضارة لاختراق أجهزة الكمبيوتر وسرقة المعلومات من الشركات في العديد من البلدان الأوروبية.
	T1566.001	التصيد الاحتيالي: مرفق Spearphishing	استخدم المهاجمون رسائل التصيد الاحتيالي لاختراق أجهزة الكمبيوتر وسرقة المعلومات من الشركات في العديد من البلدان الأوروبية.
التنفيذ	T1204.002	تنفيذ المستخدم: ملف ضار	اعتمد المهاجمون على قيام المستخدمين بفتح وتشغيل ملفات ضارة تحتوي على برامج ضارة محملة بـ AceCryptor.
الوصول إلى بيانات الاعتماد	T1555.003	بيانات الاعتماد من مخازن كلمات المرور: بيانات الاعتماد من متصفحات الويب	حاول المهاجمون سرقة معلومات بيانات الاعتماد من المتصفحات وعملاء البريد الإلكتروني.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/