Το TeslaGun προετοιμάστηκε για να εκτινάξει ένα νέο κύμα κυβερνοεπιθέσεων με κερκόπορτα

Ανακαλύφθηκε ένα πρόσφατα ανακαλυφθέν πάνελ κυβερνοεπιθέσεων με το όνομα TeslaGun, το οποίο χρησιμοποιήθηκε από την Evil Corp για την εκτέλεση καμπανιών κερκόπορτας ServHelper.

Τα δεδομένα που συγκεντρώθηκαν από μια ανάλυση της ομάδας Prodraft Threat Intelligence (PTI) δείχνουν ότι η συμμορία ransomware της Evil Corp (γνωστή και ως TA505 ή UNC2165, μαζί με μισή ντουζίνα άλλα πολύχρωμα ονόματα παρακολούθησης) έχει χρησιμοποιήσει το TeslaGun για να πραγματοποιήσει μαζικές εκστρατείες ηλεκτρονικού ψαρέματος και στοχευμένες εκστρατείες εναντίον περισσότερων από 8,000 διαφορετικούς οργανισμούς και άτομα. Η πλειονότητα των στόχων ήταν στις ΗΠΑ, οι οποίες αντιπροσώπευαν περισσότερα από 3,600 θύματα, με διάσπαρτη διεθνή κατανομή εκτός αυτού.

Υπήρξε μια συνεχής επέκταση του κακόβουλου λογισμικού backdoor ServHelper, ενός μακροχρόνιου και συνεχώς ενημερωμένου πακέτου που κυκλοφορεί τουλάχιστον από το 2019. Άρχισε να ανεβαίνει ξανά το δεύτερο εξάμηνο του 2021, σύμφωνα με αναφορά από τη Cisco Talos, που υποκινείται από μηχανισμούς όπως πλαστά προγράμματα εγκατάστασης και σχετικό κακόβουλο λογισμικό εγκατάστασης όπως το Raccoon και το Amadey. 

Πιο πρόσφατα, πληροφορίες απειλών από την Trellix τον περασμένο μήνα ανέφερε ότι η κερκόπορτα του ServHelper βρέθηκε πρόσφατα να ρίχνει κρυφά cryptominers στα συστήματα.

Η έκθεση PTI, που κυκλοφόρησε την Τρίτη, εμβαθύνει στις τεχνικές λεπτομέρειες πίσω από το TeslaGun και προσφέρει ορισμένες λεπτομέρειες και συμβουλές που μπορούν να βοηθήσουν τις επιχειρήσεις να προχωρήσουν με σημαντικά αντίμετρα σε ορισμένες από τις επικρατούσες τάσεις κυβερνοεπιθέσεων σε κερκόπορτα σήμερα.

Οι επιθέσεις backdoor που παρακάμπτουν τους μηχανισμούς επαλήθευσης ταυτότητας και αθόρυβα εδραιώνουν την επιμονή στα εταιρικά συστήματα είναι μερικές από τις πιο ανησυχητικές για τους υπερασπιστές της κυβερνοασφάλειας. Αυτό συμβαίνει επειδή αυτές οι επιθέσεις είναι εμφανώς δύσκολο να εντοπιστούν ή να αποφευχθούν με τυπικούς ελέγχους ασφαλείας. 

Οι επιτιθέμενοι της κερκόπορτας διαφοροποιούν τα περιουσιακά στοιχεία επίθεσης τους

Οι ερευνητές του PTI δήλωσαν ότι παρατήρησαν ένα ευρύ φάσμα διαφορετικών προφίλ θυμάτων και καμπανιών κατά τη διάρκεια των ερευνών τους, υποστηρίζοντας προηγούμενες έρευνες που έδειξαν ότι οι επιθέσεις ServHelper είναι τράτες για τα θύματα σε μια ποικιλία ταυτόχρονων εκστρατειών. Αυτό είναι ένα μοτίβο επίθεσης σήμα κατατεθέν για τη δημιουργία ενός πλατιού διχτυού για ευκαιριακές επιτυχίες.

«Μία μόνο παρουσία του πίνακα ελέγχου TeslaGun περιέχει πολλαπλές εγγραφές καμπάνιας που αντιπροσωπεύουν διαφορετικές μεθόδους παράδοσης και δεδομένα επίθεσης», εξηγεί η αναφορά. "Οι νεότερες εκδόσεις του κακόβουλου λογισμικού κωδικοποιούν αυτές τις διαφορετικές καμπάνιες ως αναγνωριστικά καμπάνιας."

Ωστόσο, οι κυβερνοεπιθέσεις θα προσδιορίσουν ενεργά τα θύματα

Ταυτόχρονα, το TeslaGun περιέχει πολλά στοιχεία ότι οι επιτιθέμενοι δημιουργούν προφίλ θυμάτων, κρατούν άφθονες σημειώσεις σε ορισμένα σημεία και πραγματοποιούν στοχευμένες επιθέσεις σε κερκόπορτα.

«Η ομάδα του PTI παρατήρησε ότι ο κύριος πίνακας εργαλείων του πίνακα TeslaGun περιλαμβάνει σχόλια που επισυνάπτονται στα αρχεία θυμάτων. Αυτά τα αρχεία δείχνουν δεδομένα συσκευής θύματος, όπως CPU, GPU, μέγεθος RAM και ταχύτητα σύνδεσης στο Διαδίκτυο», ανέφερε η έκθεση, εξηγώντας ότι αυτό υποδηλώνει στόχευση για ευκαιρίες κρυπτοεξόρυξης. «Από την άλλη πλευρά, σύμφωνα με τα σχόλια των θυμάτων, είναι σαφές ότι το TA505 αναζητά ενεργά χρήστες διαδικτυακών τραπεζικών ή λιανικών τραπεζών, συμπεριλαμβανομένων κρυπτο-πορτοφόλων και λογαριασμών ηλεκτρονικού εμπορίου».

Η έκθεση ανέφερε ότι τα περισσότερα θύματα φαίνεται να δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, αλλά ότι αυτή η στόχευση δεν είναι αποκλειστική.

Η μεταπώληση είναι ένα σημαντικό μέρος της δημιουργίας εσόδων από το Backdoor

Ο τρόπος με τον οποίο ρυθμίζονται οι επιλογές χρήστη του πίνακα ελέγχου προσέφερε στους ερευνητές πολλές πληροφορίες σχετικά με τη «ροή εργασίας και την εμπορική στρατηγική» της ομάδας, ανέφερε η έκθεση. Για παράδειγμα, ορισμένες επιλογές φιλτραρίσματος έφεραν την ετικέτα "Πώληση" και "Πώληση 2" με τα θύματα σε αυτές τις ομάδες να έχουν προσωρινά απενεργοποιημένα πρωτόκολλα απομακρυσμένης επιφάνειας εργασίας (RDP) μέσω του πίνακα.

"Αυτό πιθανώς σημαίνει ότι το TA505 δεν μπορεί να κερδίσει αμέσως κέρδος από την εκμετάλλευση αυτών των συγκεκριμένων θυμάτων", σύμφωνα με την έκθεση. «Αντί να τους αφήσει να φύγουν, η ομάδα έχει επισημάνει τις συνδέσεις RDP αυτών των θυμάτων για μεταπώληση σε άλλους εγκληματίες του κυβερνοχώρου».

Η έκθεση του PTI ανέφερε ότι με βάση τις παρατηρήσεις των ερευνητών, η εσωτερική δομή της ομάδας ήταν «παραδόξως αποδιοργανωμένη», αλλά ότι τα μέλη της εξακολουθούν να «παρακολουθούν προσεκτικά τα θύματά τους και μπορούν να επιδείξουν αξιοσημείωτη υπομονή, ειδικά με θύματα υψηλής αξίας στον χρηματοοικονομικό τομέα».

Η ανάλυση σημειώνει περαιτέρω ότι η δύναμη της ομάδας είναι η ευκινησία της, η οποία καθιστά δύσκολη την πρόβλεψη της δραστηριότητας και τον εντοπισμό με την πάροδο του χρόνου.

Παρόλα αυτά, οι επιτιθέμενοι με κερκόπορτα δεν είναι τέλειοι και αυτό μπορεί να προσφέρει κάποιες ενδείξεις για τους επαγγελματίες της κυβερνοασφάλειας που θέλουν να ματαιώσουν τις προσπάθειές τους.

«Η ομάδα παρουσιάζει, ωστόσο, ορισμένες εμφανείς αδυναμίες. Ενώ το TA505 μπορεί να διατηρεί κρυφές συνδέσεις στις συσκευές των θυμάτων για μήνες, τα μέλη του είναι συχνά ασυνήθιστα θορυβώδη», ανέφερε η έκθεση. «Μετά την εγκατάσταση του ServHelper, οι φορείς απειλής TA505 μπορούν να συνδεθούν με μη αυτόματο τρόπο σε συσκευές-θύμα μέσω της διοχέτευσης RDP. Οι τεχνολογίες ασφαλείας που είναι ικανές να ανιχνεύουν αυτές τις σήραγγες μπορεί να αποδειχθούν ζωτικής σημασίας για την σύλληψη και τον μετριασμό των επιθέσεων κερκόπορτας του TA505.»

Η συνδεδεμένη με τη Ρωσία (και υπό την επιβολή κυρώσεων) Evil Corp υπήρξε μια από τις πιο παραγωγικές ομάδες των τελευταίων πέντε ετών. Σύμφωνα με την Κυβέρνηση των ΗΠΑ, η ομάδα είναι το εγκεφαλικό καταπίστευμα πίσω από το οικονομικό Trojan Dridex και έχει συσχετισμούς με καμπάνιες που χρησιμοποιούν παραλλαγές ransomware όπως το WastedLocker. Συνεχίζει να ακονίζει μια σειρά από όπλα και για το οπλοστάσιό της. την περασμένη εβδομάδα, ήρθε στο φως ότι σχετίζεται με Λοιμώξεις από Raspberry Robin.

Το PTI χρησιμοποιεί το TA505 για την παρακολούθηση της απειλής και η συναίνεση είναι σταθερή αλλά όχι καθολική ότι η TA505 και η Evil Corp είναι η ίδια ομάδα. Μια αναφορά τον περασμένο μήνα από την Κέντρο Συντονισμού Κυβερνοασφάλειας Τομέα Υγείας (HC3) είπε ότι «δεν υποστηρίζει προς το παρόν αυτό το συμπέρασμα».