Rescoms übersteht Wellen von AceCryptor-Spam

Letztes Jahr veröffentlichte ESET eine Blogbeitrag über AceCryptor – einer der beliebtesten und am weitesten verbreiteten Cryptors-as-a-Service (CaaS), der seit 2016 in Betrieb ist. Für H1 2023 wir veröffentlichten Statistiken aus unserer Telemetrie, wonach sich Trends aus früheren Zeiträumen ohne drastische Änderungen fortsetzten.

Allerdings haben wir im zweiten Halbjahr 2 eine wesentliche Änderung in der Art und Weise registriert, wie AceCryptor verwendet wird. Wir haben nicht nur im zweiten Halbjahr 2023 im Vergleich zum ersten Halbjahr 2 mehr als doppelt so viele Angriffe gesehen und blockiert, sondern wir haben auch festgestellt, dass Rescoms (auch bekannt als Remcos) begonnen hat, AceCryptor zu verwenden, was vorher nicht der Fall war.

Die überwiegende Mehrheit der mit AceCryptor verpackten Rescoms-RAT-Proben wurde als erster Kompromittierungsvektor in mehreren Spam-Kampagnen verwendet, die auf europäische Länder wie Polen, die Slowakei, Bulgarien und Serbien abzielten.

Kernpunkte dieses Blogposts:

• AceCryptor stellte im zweiten Halbjahr 2 weiterhin Packdienste für Dutzende sehr bekannter Malware-Familien bereit.
• Obwohl AceCryptor bei Sicherheitsprodukten gut bekannt ist, zeigt die Verbreitung keine Anzeichen eines Rückgangs: Im Gegenteil, die Zahl der Angriffe ist aufgrund der Rescoms-Kampagnen deutlich gestiegen.
• AceCryptor ist ein von Bedrohungsakteuren bevorzugter Kryptor, der auf bestimmte Länder und Ziele abzielt (z. B. Unternehmen in einem bestimmten Land).
• Im zweiten Halbjahr 2 entdeckte ESET mehrere AceCryptor+Rescoms-Kampagnen in europäischen Ländern, hauptsächlich Polen, Bulgarien, Spanien und Serbien.
• Der Bedrohungsakteur hinter diesen Kampagnen missbrauchte in einigen Fällen kompromittierte Konten, um Spam-E-Mails zu versenden, um sie so glaubwürdig wie möglich erscheinen zu lassen.
• Das Ziel der Spam-Kampagnen bestand darin, in Browsern oder E-Mail-Clients gespeicherte Anmeldeinformationen abzugreifen, die im Falle einer erfolgreichen Kompromittierung Möglichkeiten für weitere Angriffe eröffnen würden.

AceCryptor im zweiten Halbjahr 2

Im ersten Halbjahr 2023 schützte ESET rund 13,000 Benutzer vor AceCryptor-verpackter Malware. In der zweiten Jahreshälfte kam es zu einem massiven Anstieg der Verbreitung von mit AceCryptor gepackter Malware, wobei sich unsere Erkennungen verdreifachten, was zu über 42,000 geschützten ESET-Benutzern weltweit führte. Wie in Abbildung 1 zu sehen ist, haben wir mehrere plötzliche Wellen der Malware-Verbreitung festgestellt. Diese Spitzen zeigen mehrere Spam-Kampagnen, die auf europäische Länder abzielten, in denen AceCryptor eine Rescoms-RAT gepackt hat (mehr dazu im Rescoms-Kampagnen Sektion).

Wenn wir außerdem die reine Anzahl der Proben vergleichen, hat ESET im ersten Halbjahr 2023 über 23,000 einzigartige bösartige Proben von AceCryptor entdeckt; Im zweiten Halbjahr 2023 haben wir „nur“ über 17,000 einzigartige Proben gesehen und entdeckt. Auch wenn dies unerwartet sein mag, gibt es bei näherer Betrachtung der Daten eine vernünftige Erklärung. Bei den Spam-Kampagnen von Rescoms wurden dieselben schädlichen Dateien in E-Mail-Kampagnen verwendet, die an eine größere Anzahl von Benutzern gesendet wurden. Dadurch erhöhte sich die Anzahl der Personen, die mit der Malware in Berührung kamen, die Anzahl der unterschiedlichen Dateien blieb jedoch dennoch gering. Dies war in früheren Zeiträumen nicht der Fall, da Rescoms fast nie in Kombination mit AceCryptor verwendet wurde. Ein weiterer Grund für den Rückgang der Anzahl eindeutiger Beispiele liegt darin, dass einige beliebte Familien offenbar aufgehört haben (oder fast aufgehört haben), AceCryptor als CaaS ihrer Wahl zu verwenden. Ein Beispiel ist die Danabot-Malware, die AceCryptor nicht mehr verwendet. auch der bekannte RedLine Stealer, dessen Benutzer AceCryptor nicht mehr so ​​häufig verwenden, basierend auf einem Rückgang von mehr als 60 % bei AceCryptor-Samples, die diese Malware enthalten.

Wie in Abbildung 2 zu sehen ist, verteilt AceCryptor neben Rescoms immer noch Proben aus vielen verschiedenen Malware-Familien, wie SmokeLoader, STOP Ransomware und Vidar Stealer.

Im ersten Halbjahr 2023 waren Peru, Mexiko, Ägypten und die Türkei die am stärksten von der von AceCryptor gepackten Malware betroffenen Länder, wo Peru mit 4,700 die meisten Angriffe verzeichnete. Die Spam-Kampagnen von Rescom haben diese Statistiken in der zweiten Jahreshälfte dramatisch verändert. Wie in Abbildung 3 zu sehen ist, betraf die mit AceCryptor verpackte Malware vor allem europäische Länder. Das mit Abstand am stärksten betroffene Land ist Polen, wo ESET über 26,000 Angriffe verhinderte; Es folgen die Ukraine, Spanien und Serbien. Und es ist erwähnenswert, dass ESET-Produkte in jedem dieser Länder mehr Angriffe verhinderten als im am stärksten betroffenen Land im ersten Halbjahr 1, Peru.

AceCryptor-Beispiele, die wir in H2 beobachtet haben, enthielten häufig zwei Malware-Familien als Nutzlast: Rescoms und SmokeLoader. Ein Anstieg in der Ukraine wurde durch SmokeLoader verursacht. Diese Tatsache wurde bereits erwähnt vom ukrainischen NSDC. In Polen, der Slowakei, Bulgarien und Serbien hingegen wurde die erhöhte Aktivität dadurch verursacht, dass AceCryptor Rescoms als letzte Nutzlast enthielt.

Rescoms-Kampagnen

Im ersten Halbjahr 2023 sahen wir in unserer Telemetrie weniger als hundert Vorfälle von AceCryptor-Proben mit darin enthaltenen Rescoms. In der zweiten Jahreshälfte wurde Rescoms mit über 32,000 Treffern zur am weitesten verbreiteten Malware-Familie von AceCryptor. Mehr als die Hälfte dieser Versuche ereigneten sich in Polen, gefolgt von Serbien, Spanien, Bulgarien und der Slowakei (Abbildung 4).

Kampagnen in Polen

Dank der ESET-Telemetrie konnten wir im zweiten Halbjahr 2 acht bedeutende Spam-Kampagnen beobachten, die auf Polen abzielten. Wie in Abbildung 2023 zu sehen ist, fanden die meisten davon im September statt, es gab aber auch Kampagnen im August und Dezember.

Insgesamt registrierte ESET in diesem Zeitraum über 26,000 dieser Angriffe in Polen. Alle Spam-Kampagnen zielten auf Unternehmen in Polen ab und alle E-Mails hatten sehr ähnliche Betreffzeilen zu B2B-Angeboten für die Opferunternehmen. Um möglichst glaubwürdig zu wirken, haben die Angreifer folgende Tricks in die Spam-Mails eingebaut:

• E-Mail-Adressen, an die sie Spam-E-Mails von nachgeahmten Domains anderer Unternehmen verschickten. Angreifer verwendeten eine andere TLD, änderten einen Buchstaben in einem Firmennamen oder die Wortreihenfolge bei einem aus mehreren Wörtern bestehenden Firmennamen (diese Technik wird als Typosquatting bezeichnet).
• Am bemerkenswertesten ist, dass mehrere Kampagnen beteiligt waren Geschäfts-E-Mail-Kompromiss – Angreifer missbrauchten zuvor kompromittierte E-Mail-Konten anderer Mitarbeiter des Unternehmens, um Spam-E-Mails zu versenden. Selbst wenn das potenzielle Opfer auf die üblichen Warnsignale achtete, waren diese einfach nicht vorhanden und die E-Mail sah so legitim aus, wie sie nur hätte sein können.

Die Angreifer haben recherchiert und beim Signieren dieser E-Mails bestehende polnische Firmennamen und sogar bestehende Mitarbeiter-/Eigentümernamen und Kontaktinformationen verwendet. Dies wurde durchgeführt, damit die Suche erfolgreich ist, wenn ein Opfer versucht, den Namen des Absenders zu googeln, was dazu führen kann, dass das Opfer den schädlichen Anhang öffnet.

• Der Inhalt von Spam-E-Mails war teilweise einfacher, in vielen Fällen (wie im Beispiel in Abbildung 6) jedoch recht aufwendig. Besonders diese ausführlicheren Versionen sollten als gefährlich angesehen werden, da sie vom Standardmuster allgemeiner Texte abweichen, das häufig mit grammatikalischen Fehlern behaftet ist.

Die in Abbildung 6 dargestellte E-Mail enthält eine Nachricht, gefolgt von Informationen über die Verarbeitung personenbezogener Daten durch den mutmaßlichen Absender und der Möglichkeit, „auf den Inhalt Ihrer Daten zuzugreifen und das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Recht auf Datenübertragung“ zu haben , Widerspruchsrecht und Beschwerderecht bei der Aufsichtsbehörde“. Die Nachricht selbst kann folgendermaßen übersetzt werden:

Sehr geehrter Herr,

Ich bin Sylwester [geschwärzt] von [geschwärzt]. Ihr Unternehmen wurde uns von einem Geschäftspartner empfohlen. Bitte geben Sie die beigefügte Bestellliste an. Bitte informieren Sie uns auch über die Zahlungsbedingungen.

Wir freuen uns auf Ihre Antwort und weitere Diskussion.

-

Mit freundlichen Grüßen,

Die Anhänge sahen in allen Kampagnen recht ähnlich aus (Abbildung 7). E-Mails enthielten im Anhang ein Archiv oder eine ISO-Datei mit dem Namen „Angebot/Anfrage“ (natürlich auf Polnisch), teilweise auch mit einer Bestellnummer. Diese Datei enthielt eine ausführbare AceCryptor-Datei, die Rescoms entpackte und startete.

Aufgrund des Verhaltens der Malware gehen wir davon aus, dass das Ziel dieser Kampagnen darin bestand, E-Mail- und Browser-Zugangsdaten zu erhalten und so ersten Zugang zu den Zielunternehmen zu erhalten. Während nicht bekannt ist, ob die Zugangsdaten für die Gruppe gesammelt wurden, die diese Angriffe durchgeführt hat, oder ob diese gestohlenen Zugangsdaten später an andere Bedrohungsakteure verkauft wurden, ist es sicher, dass eine erfolgreiche Kompromittierung die Möglichkeit für weitere Angriffe eröffnet, insbesondere von derzeit beliebten Angriffen. Ransomware-Angriffe.

Es ist wichtig zu erwähnen, dass Rescoms RAT gekauft werden kann; Daher nutzen es viele Bedrohungsakteure bei ihren Operationen. Diese Kampagnen sind nicht nur durch Zielähnlichkeit, Anhangsstruktur, E-Mail-Text oder Tricks und Techniken zur Täuschung potenzieller Opfer miteinander verbunden, sondern auch durch einige weniger offensichtliche Eigenschaften. In der Malware selbst konnten wir Artefakte finden (z. B. die Lizenz-ID für Rescoms), die diese Kampagnen miteinander verbinden, was zeigt, dass viele dieser Angriffe von einem einzigen Bedrohungsakteur durchgeführt wurden.

Kampagnen in der Slowakei, Bulgarien und Serbien

Im gleichen Zeitraum wie die Kampagnen in Polen registrierte ESET Telemetry auch laufende Kampagnen in der Slowakei, Bulgarien und Serbien. Auch diese Kampagnen zielten hauptsächlich auf lokale Unternehmen ab und wir können sogar Artefakte in der Malware selbst finden, die diese Kampagnen mit demselben Bedrohungsakteur in Verbindung bringen, der die Kampagnen in Polen durchgeführt hat. Das einzig Wesentliche, was sich geändert hat, war natürlich die Sprache, die in den Spam-E-Mails verwendet wurde, um für diese spezifischen Länder geeignet zu sein.

Kampagnen in Spanien

Abgesehen von den zuvor erwähnten Kampagnen erlebte Spanien auch einen Anstieg von Spam-E-Mails mit Rescoms als letzter Nutzlast. Obwohl wir bestätigen können, dass mindestens eine der Kampagnen von demselben Bedrohungsakteur wie in diesen vorherigen Fällen durchgeführt wurde, folgten andere Kampagnen einem etwas anderen Muster. Darüber hinaus unterschieden sich sogar Artefakte, die in früheren Fällen gleich waren, in diesen, und aus diesem Grund können wir nicht schließen, dass die Kampagnen in Spanien von demselben Ort ausgingen.

Zusammenfassung

In der zweiten Hälfte des Jahres 2023 stellten wir eine Verschiebung in der Nutzung von AceCryptor fest – einem beliebten Kryptor, der von mehreren Bedrohungsakteuren zum Packen zahlreicher Malware-Familien verwendet wird. Obwohl die Verbreitung einiger Malware-Familien wie RedLine Stealer zurückgegangen ist, haben andere Bedrohungsakteure begonnen, sie für ihre Aktivitäten zu nutzen, und AceCryptor ist immer noch stark. In diesen Kampagnen wurde AceCryptor verwendet, um mehrere europäische Länder anzugreifen und Informationen zu extrahieren oder erhalten Sie einen ersten Zugang zu mehreren Unternehmen. Bei diesen Angriffen wurde Schadsoftware über Spam-E-Mails verbreitet, die zum Teil recht überzeugend waren; Manchmal wurde der Spam sogar von legitimen, aber missbrauchten E-Mail-Konten gesendet. Da das Öffnen von Anhängen aus solchen E-Mails schwerwiegende Folgen für Sie oder Ihr Unternehmen haben kann, empfehlen wir Ihnen, sich darüber im Klaren zu sein, was Sie öffnen, und eine zuverlässige Endpoint-Sicherheitssoftware zu verwenden, die die Malware erkennen kann.

Bei Fragen zu unseren auf WeLiveSecurity veröffentlichten Forschungsergebnissen kontaktieren Sie uns bitte unter Bedrohungintel@eset.com.
ESET Research bietet private APT-Intelligence-Berichte und Daten-Feeds. Bei Fragen zu diesem Service besuchen Sie bitte die ESET Threat Intelligence

IoCs

Eine umfassende Liste der Indicators of Compromise (IoCs) finden Sie in unserem GitHub-Repository.

Mappen

SHA-1	Dateiname	Entdeckung	Beschreibung
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Schädlicher Anhang einer Spam-Kampagne, die im Dezember 2023 in Serbien durchgeführt wurde.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Polen durchgeführt wurde.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Schädlicher Anhang aus einer Spam-Kampagne, die im September 2023 in Polen und Bulgarien durchgeführt wurde.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Serbien durchgeführt wurde.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Bulgarien durchgeführt wurde.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Schädlicher Anhang einer Spam-Kampagne, die im August 2023 in Polen durchgeführt wurde.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Schädlicher Anhang aus einer Spam-Kampagne, die im August 2023 in Serbien durchgeführt wurde.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Schädlicher Anhang einer Spam-Kampagne, die im August 2023 in Bulgarien durchgeführt wurde.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Schädlicher Anhang einer Spam-Kampagne, die im August 2023 in der Slowakei durchgeführt wurde.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Schädlicher Anhang einer Spam-Kampagne, die im Dezember 2023 in Bulgarien durchgeführt wurde.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Polen durchgeführt wurde.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Polen durchgeführt wurde.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Polen durchgeführt wurde.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Serbien durchgeführt wurde.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Schädlicher Anhang einer Spam-Kampagne, die im Dezember 2023 in Polen durchgeführt wurde.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Schädlicher Anhang einer Spam-Kampagne, die im September 2023 in Polen durchgeführt wurde.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Schädlicher Anhang aus einer Spam-Kampagne, die im August 2023 in Spanien durchgeführt wurde.

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit erstellt Version 14 des MITRE ATT&CK-Frameworks.

Taktik	ID	Name und Vorname	Beschreibung
Aufklärung	T1589.002	Sammeln Sie Informationen zur Opferidentität: E-Mail-Adressen	E-Mail-Adressen und Kontaktinformationen (entweder gekauft oder aus öffentlich zugänglichen Quellen gesammelt) wurden in Phishing-Kampagnen verwendet, um Unternehmen in mehreren Ländern anzusprechen.
Ressourcenentwicklung	T1586.002	Gefährdung von Konten: E-Mail-Konten	Angreifer nutzten kompromittierte E-Mail-Konten, um Phishing-E-Mails in Spam-Kampagnen zu versenden und so die Glaubwürdigkeit von Spam-E-Mails zu erhöhen.
	T1588.001	Erwerben Sie Fähigkeiten: Malware	Angreifer kauften und nutzten AceCryptor und Rescoms für Phishing-Kampagnen.
Erster Zugriff	T1566	Phishing	Angreifer nutzten Phishing-Nachrichten mit bösartigen Anhängen, um Computer zu kompromittieren und Informationen von Unternehmen in mehreren europäischen Ländern zu stehlen.
	T1566.001	Phishing: Spearphishing-Anhang	Angreifer nutzten Spearphishing-Nachrichten, um Computer zu kompromittieren und Informationen von Unternehmen in mehreren europäischen Ländern zu stehlen.
ausführung	T1204.002	Benutzerausführung: Schädliche Datei	Die Angreifer verließen sich darauf, dass Benutzer schädliche Dateien mit von AceCryptor gepackter Malware öffneten und starteten.
Zugang zu Anmeldeinformationen	T1555.003	Anmeldeinformationen aus Kennwortspeichern: Anmeldeinformationen aus Webbrowsern	Angreifer versuchten, Anmeldeinformationen aus Browsern und E-Mail-Clients zu stehlen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/