Es wurde ein neu entdecktes Cyberangriffspanel namens TeslaGun entdeckt, das von Evil Corp zur Durchführung von ServHelper-Backdoor-Kampagnen verwendet wird.
Aus einer Analyse des Prodraft Threat Intelligence (PTI)-Teams gewonnene Daten zeigen, dass die Ransomware-Bande Evil Corp (auch bekannt als TA505 oder UNC2165, zusammen mit einem halben Dutzend anderer schillernder Tracking-Namen) TeslaGun verwendet hat, um Massen-Phishing-Kampagnen und gezielte Kampagnen gegen mehr durchzuführen als 8,000 verschiedene Organisationen und Einzelpersonen. Die meisten Ziele befanden sich in den USA, wo mehr als 3,600 Opfer zu beklagen waren, mit einer verstreuten internationalen Verteilung darüber hinaus.
Die Backdoor-Malware ServHelper, ein langjähriges und ständig aktualisiertes Paket, das seit mindestens 2019 im Umlauf ist, hat sich kontinuierlich ausgeweitet. In der zweiten Hälfte des Jahres 2021 nahm es laut a wieder Fahrt auf Bericht von Cisco Talos, angetrieben durch Mechanismen wie gefälschte Installer und zugehörige Installer-Malware wie Raccoon und Amadey.
Zuletzt, Bedrohungsinformationen von Trellix Letzten Monat wurde berichtet, dass kürzlich die ServHelper-Hintertür gefunden wurde, die versteckte Kryptominer auf Systemen ablegt.
Der PTI-Bericht, herausgegeben am Dienstag, geht auf die technischen Besonderheiten von TeslaGun ein und bietet einige Details und Tipps, die Unternehmen dabei helfen können, wichtige Gegenmaßnahmen gegen einige der heute vorherrschenden Backdoor-Cyberangriffstrends voranzutreiben.
Backdoor-Angriffe, die Authentifizierungsmechanismen umgehen und stillschweigend eine Persistenz auf Unternehmenssystemen etablieren, gehören zu den beunruhigendsten Angriffen für Cybersicherheitsverteidiger. Das liegt daran, dass diese Angriffe mit Standard-Sicherheitskontrollen bekanntermaßen schwer zu erkennen oder zu verhindern sind.
Backdoor-Angreifer diversifizieren ihre Angriffsmöglichkeiten
PTI-Forscher sagten, sie hätten bei ihren Untersuchungen ein breites Spektrum unterschiedlicher Opferprofile und Kampagnen beobachtet, was frühere Untersuchungen bestätigte, die zeigten, dass ServHelper-Angriffe in einer Vielzahl gleichzeitiger Kampagnen nach Opfern suchen. Dies ist ein typisches Angriffsmuster, bei dem ein weites Netz für opportunistische Treffer ausgebreitet wird.
„Eine einzelne Instanz des TeslaGun-Kontrollfelds enthält mehrere Kampagnendatensätze, die unterschiedliche Zustellungsmethoden und Angriffsdaten repräsentieren“, heißt es in dem Bericht. „Neuere Versionen der Malware kodieren diese verschiedenen Kampagnen als Kampagnen-IDs.“
Aber Cyberangreifer werden aktiv ein Profil ihrer Opfer erstellen
Gleichzeitig enthält TeslaGun zahlreiche Beweise dafür, dass Angreifer Profile von Opfern erstellen, an manchen Stellen umfangreiche Notizen machen und gezielte Backdoor-Angriffe durchführen.
„Das PTI-Team stellte fest, dass das Haupt-Dashboard des TeslaGun-Panels Kommentare enthält, die den Opferakten beigefügt sind. „Diese Aufzeichnungen zeigen Gerätedaten des Opfers wie CPU, GPU, RAM-Größe und Internetverbindungsgeschwindigkeit“, heißt es in dem Bericht und erklärt, dass dies auf gezielte Kryptomining-Möglichkeiten hindeutet. „Andererseits ist laut Opferkommentaren klar, dass TA505 aktiv nach Online-Banking- oder Einzelhandelsnutzern sucht, einschließlich Krypto-Wallets und E-Commerce-Konten.“
In dem Bericht heißt es, dass die meisten Opfer offenbar im Finanzsektor tätig seien, diese Angriffe jedoch nicht ausschließlich seien.
Der Weiterverkauf ist ein wichtiger Teil der Backdoor-Monetarisierung
Die Art und Weise, wie die Benutzeroptionen des Control Panels eingerichtet sind, bot den Forschern viele Informationen über den „Workflow und die kommerzielle Strategie“ der Gruppe, heißt es in dem Bericht. Beispielsweise wurden einige Filteroptionen mit „Verkaufen“ und „Verkaufen 2“ gekennzeichnet, wobei bei Opfern in diesen Gruppen die Remote-Desktop-Protokolle (RDP) über das Panel vorübergehend deaktiviert wurden.
„Das bedeutet wahrscheinlich, dass TA505 nicht sofort einen Gewinn aus der Ausbeutung dieser bestimmten Opfer erzielen kann“, heißt es in dem Bericht. „Anstatt sie gehen zu lassen, hat die Gruppe die RDP-Verbindungen dieser Opfer für den Weiterverkauf an andere Cyberkriminelle markiert.“
Im PTI-Bericht heißt es, dass die interne Struktur der Gruppe nach den Beobachtungen der Forscher „überraschend unorganisiert“ sei, ihre Mitglieder jedoch „ihre Opfer immer noch sorgfältig überwachen und bemerkenswerte Geduld an den Tag legen können, insbesondere bei Opfern mit hohem Wert im Finanzsektor“.
Die Analyse stellt außerdem fest, dass die Stärke der Gruppe in ihrer Agilität liegt, die es schwierig macht, Aktivitäten vorherzusagen und im Laufe der Zeit zu erkennen.
Dennoch sind die Backdoor-Angreifer nicht perfekt, und dies kann einige Hinweise für Cybersicherheitsprofis liefern, die ihre Bemühungen vereiteln wollen.
„Die Gruppe weist jedoch einige verräterische Schwächen auf. Während TA505 über Monate hinweg versteckte Verbindungen auf den Geräten der Opfer aufrechterhalten kann, sind seine Mitglieder oft ungewöhnlich laut“, heißt es in dem Bericht. „Nach der Installation von ServHelper können TA505-Bedrohungsakteure über RDP-Tunneling manuell eine Verbindung zu Opfergeräten herstellen. Sicherheitstechnologien, die in der Lage sind, diese Tunnel zu erkennen, könnten sich als entscheidend für die Erkennung und Abwehr der Hintertürangriffe von TA505 erweisen.“
Die mit Russland verbundene (und sanktionierte) Evil Corp war eine der produktivsten Gruppen der letzten fünf Jahre. Entsprechend der US RegierungDie Gruppe ist die treibende Kraft hinter dem Finanztrojaner Dridex und hat Verbindungen zu Kampagnen, bei denen Ransomware-Varianten wie WastedLocker zum Einsatz kommen. Es arbeitet auch weiterhin daran, eine Reihe von Waffen für sein Arsenal zu verfeinern; Letzte Woche wurde bekannt, dass es damit zusammenhängt Himbeer-Robin-Infektionen.
PTI verwendet TA505, um die Bedrohung zu verfolgen Der Konsens ist solide Es ist jedoch nicht allgemeingültig, dass TA505 und Evil Corp dieselbe Gruppe sind. Ein Bericht vom letzten Monat Koordinierungszentrum für Cybersicherheit im Gesundheitssektor (HC3) sagte, es „unterstützt diese Schlussfolgerung derzeit nicht.“
