Et nyopdaget cyberangrebspanel kaldet TeslaGun er blevet opdaget, brugt af Evil Corp til at køre ServHelper-bagdørskampagner.
Data indsamlet fra en analyse af Prodraft Threat Intelligence (PTI)-teamet viser Evil Corp ransomware-banden (alias TA505 eller UNC2165, sammen med et halvt dusin andre farverige sporingsnavne) har brugt TeslaGun til at udføre massephishing-kampagner og målrettede kampagner mod flere mere end 8,000 forskellige organisationer og enkeltpersoner. Størstedelen af målene har været i USA, som tegnede sig for mere end 3,600 af ofrene, med en spredt international distribution uden for det.
Der har været en fortsat udvidelse af ServHelper-bagdørs-malwaren, en langvarig og konstant opdateret pakke, der har været i gang siden mindst 2019. Den begyndte at tage fart igen i anden halvdel af 2021, ifølge en rapport fra Cisco Talos, ansporet af mekanismer som falske installatører og tilhørende installatør-malware som Raccoon og Amadey.
Seneste, trusselsefterretninger fra Trellix i sidste måned rapporterede, at ServHelper-bagdøren for nylig er blevet fundet ved at droppe skjulte kryptominere på systemer.
PTI-rapporten, udgivet tirsdag, dykker ned i de tekniske detaljer bag TeslaGun og tilbyder nogle detaljer og tips, der kan hjælpe virksomheder med at komme videre med vigtige modforanstaltninger til nogle af de fremherskende cyberangrebstendenser i bagdøren i dag.
Bagdørsangreb, der omgår autentificeringsmekanismer og stille etablerer persistens på virksomhedssystemer, er nogle af de mest foruroligende for cybersikkerhedsforsvarere. Det er fordi disse angreb er notorisk svære at opdage eller forhindre med standard sikkerhedskontroller.
Bagdørsangribere diversificerer deres angrebsaktiver
PTI-forskere sagde, at de observerede en lang række forskellige offerprofiler og kampagner under deres undersøgelser, hvilket understøttede tidligere forskning, der viste, at ServHelper-angreb trawler efter ofre i en række samtidige kampagner. Dette er et varemærkeangrebsmønster, hvor man kaster et bredt net efter opportunistiske hits.
"En enkelt forekomst af TeslaGun-kontrolpanelet indeholder flere kampagneregistreringer, der repræsenterer forskellige leveringsmetoder og angrebsdata," forklarede rapporten. "Nyere versioner af malware koder disse forskellige kampagner som kampagne-id'er."
Men cyberangribere vil aktivt profilere ofre
Samtidig indeholder TeslaGun masser af beviser på, at angribere profilerer ofre, tager rigelige noter på nogle punkter og udfører målrettede bagdørsangreb.
"PTI-teamet observerede, at TeslaGun-panelets hovedbetjeningspanel inkluderer kommentarer knyttet til ofrenes optegnelser. Disse optegnelser viser data fra ofrets enhed såsom CPU, GPU, RAM-størrelse og internetforbindelseshastighed," sagde rapporten, der forklarer, at dette indikerer målretning efter muligheder for kryptominering. "På den anden side er det ifølge offerets kommentarer klart, at TA505 aktivt leder efter onlinebank- eller detailbrugere, inklusive krypto-wallets og e-handelskonti."
Rapporten sagde, at de fleste ofre ser ud til at operere i den finansielle sektor, men at denne målretning ikke er eksklusiv.
Videresalg er en vigtig del af bagdørsindtægtsgenerering
Den måde, hvorpå kontrolpanelets brugermuligheder er sat op, gav forskerne en masse information om gruppens "workflow og kommercielle strategi," hedder det i rapporten. For eksempel blev nogle filtreringsmuligheder mærket "Sælg" og "Sælg 2" med ofre i disse grupper, der midlertidigt havde deaktiveret fjernskrivebordsprotokoller (RDP) gennem panelet.
"Dette betyder sandsynligvis, at TA505 ikke umiddelbart kan tjene penge på at udnytte de særlige ofre," ifølge rapporten. "I stedet for at lade dem gå, har gruppen tagget disse ofres RDP-forbindelser til videresalg til andre cyberkriminelle."
PTI-rapporten sagde, at baseret på forskernes observationer var gruppens interne struktur "overraskende uorganiseret", men at dens medlemmer stadig "omhyggeligt overvåger deres ofre og kan udvise bemærkelsesværdig tålmodighed, især med ofre af høj værdi i finanssektoren."
Analysen bemærker endvidere, at gruppens styrke er dens smidighed, hvilket gør det svært at forudsige aktivitet og opdage over tid.
Ikke desto mindre er bagdørangriberne ikke perfekte, og dette kan give nogle ledetråde til cybersikkerhedsprofessionelle, der ønsker at forpurre deres indsats.
"Gruppen udviser dog nogle afslørende svagheder. Mens TA505 kan opretholde skjulte forbindelser på ofrenes enheder i månedsvis, er dens medlemmer ofte usædvanligt støjende,” står der i rapporten. "Efter installation af ServHelper kan trusselsaktører fra TA505 manuelt oprette forbindelse til ofrets enheder gennem RDP-tunneling. Sikkerhedsteknologier, der er i stand til at detektere disse tunneler, kan vise sig at være afgørende for at fange og afbøde TA505's bagdørsangreb."
Det russisk-tilknyttede (og sanktionerede) Evil Corp har været en af de mest produktive grupper i de sidste fem år. Ifølge Amerikanske regering, gruppen er hjernetilliden bag den finansielle trojanske Dridex og har associationer til kampagner, der bruger ransomware-varianter som WastedLocker. Den fortsætter også med at finpudse en række våben til sit arsenal; i sidste uge kom det frem, at det er forbundet med Raspberry Robin infektioner.
PTI bruger TA505 til at spore truslen, og konsensus er solid men ikke universelt, at TA505 og Evil Corp er den samme gruppe. En rapport sidste måned fra Health Sector Cybersecurity Coordination Center (HC3) sagde, at det "i øjeblikket ikke understøtter denne konklusion."
