Avastati äsja avastatud küberrünnakupaneel nimega TeslaGun, mida Evil Corp kasutas ServHelperi tagaukse kampaaniate läbiviimiseks.
Prodraft Threat Intelligence (PTI) meeskonna analüüsist kogutud andmed näitavad, et Evil Corp lunavarajõuk (teise nimega TA505 või UNC2165 koos poole tosina muu värvika jälgimisnimega) on kasutanud TeslaGuni massiliste andmepüügikampaaniate ja sihitud kampaaniate läbiviimiseks rohkemate vastu. üle 8,000 erineva organisatsiooni ja üksikisiku. Enamik sihtmärke on olnud USA-s, kus hukkus enam kui 3,600 ohvrit, ja väljaspool seda on laiali levinud rahvusvaheline levik.
Tagaukse pahavara ServHelper on pidevalt laienenud. See on pikaajaline ja pidevalt uuendatav pakett, mis on olnud kasutusel vähemalt 2019. aastast. See hakkas 2021. aasta teisel poolel taas hoogu võtma. Cisco Talose aruanne, mida õhutavad sellised mehhanismid nagu võltsinstallerid ja nendega seotud installijate pahavara, nagu Raccoon ja Amadey.
Viimasel ajal Trellixi ohuluure eelmisel kuul teatati, et hiljuti leiti ServHelperi tagauks, mis viskab süsteemidesse peidetud krüptokaevureid.
PTI aruanneTeisipäeval välja antud raamat süveneb TeslaGuni tehnilistesse eripäradesse ning pakub mõningaid üksikasju ja näpunäiteid, mis aitavad ettevõtetel liikuda edasi oluliste vastumeetmetega, mis on seotud tänapäeval valitsevate tagaukse küberrünnakute suundumustega.
Tagaukse rünnakud, mis hiilivad kõrvale autentimismehhanismidest ja loovad vaikselt ettevõtte süsteemide püsivuse, on küberturvalisuse kaitsjate jaoks kõige häirivamad. Selle põhjuseks on asjaolu, et neid rünnakuid on standardsete turvakontrollide abil kurikuulsalt raske tuvastada või ära hoida.
Tagaukse ründajad mitmekesistavad oma rünnakute varasid
PTI teadlased ütlesid, et nad jälgisid uurimise käigus mitmesuguseid ohvriprofiile ja kampaaniaid, toetades varasemaid uuringuid, mis näitasid, et ServHelperi rünnakud otsivad ohvreid mitmesuguste samaaegsete kampaaniate käigus. See on kaubamärgi rünnak, mis loob oportunistlike tabamuste jaoks laia võrgu.
"TeslaGuni juhtpaneeli üks eksemplar sisaldab mitut kampaaniakirjet, mis esindavad erinevaid edastusmeetodeid ja rünnakuandmeid," selgitati aruandes. "Pahavara uuemad versioonid kodeerivad need erinevad kampaaniad kampaania ID-dena."
Kuid küberründajad profileerivad ohvreid aktiivselt
Samal ajal sisaldab TeslaGun palju tõendeid selle kohta, et ründajad koostavad ohvrite profiili, teevad mõnel hetkel ohtralt märkmeid ja korraldavad sihipäraseid tagaukse rünnakuid.
"PTI meeskond täheldas, et TeslaGuni paneeli peamine armatuurlaud sisaldab ohvrite dokumentidele lisatud kommentaare. Need kirjed näitavad ohvrite seadmeandmeid, nagu protsessor, graafikaprotsessor, RAM-i suurus ja Interneti-ühenduse kiirus," ütles aruanne, selgitades, et see viitab krüptomineerimisvõimaluste sihtimisele. "Teisest küljest on ohvrite kommentaaride kohaselt selge, et TA505 otsib aktiivselt Interneti-panganduse või jaekasutajaid, sealhulgas krüptorahakotte ja e-kaubanduse kontosid."
Aruandes öeldakse, et enamik ohvreid näib tegutsevat finantssektoris, kuid see sihtimine pole ainulaadne.
Edasimüük on tagaukse monetiseerimise oluline osa
Juhtpaneeli kasutajavalikute seadistamise viis pakkus teadlastele palju teavet grupi töövoo ja äristrateegia kohta, öeldakse aruandes. Näiteks olid mõned filtreerimissuvandid märgistatud "Müük" ja "Müük 2", kusjuures nende rühmade ohvritel oli paneeli kaudu ajutiselt keelatud kaugtöölaua protokollid (RDP).
"See tähendab tõenäoliselt, et TA505 ei saa nende konkreetsete ohvrite ärakasutamisest kohe kasumit teenida," seisab aruandes. "Selle asemel, et neil minna lasta, on rühmitus märgistanud nende ohvrite RDP-ühendused teistele küberkurjategijatele edasimüümiseks."
PTI aruandes öeldi, et teadlaste tähelepanekute põhjal oli grupi sisestruktuur "üllatavalt korrastamata", kuid selle liikmed jälgivad siiski hoolikalt oma ohvreid ja suudavad üles näidata märkimisväärset kannatlikkust, eriti rahandussektori kõrge väärtusega ohvritega.
Lisaks märgitakse analüüsis, et rühma tugevuseks on selle paindlikkus, mis muudab aktiivsuse prognoosimise ja aja jooksul tuvastamise raskeks.
Sellegipoolest pole tagaukse ründajad täiuslikud ja see võib anda vihjeid küberturvalisuse professionaalidele, kes soovivad oma jõupingutusi nurjata.
"Siiski on rühmal mõningaid ilmseid nõrkusi. Kuigi TA505 suudab ohvrite seadmetes peidetud ühendusi säilitada kuude jooksul, on selle liikmed sageli ebatavaliselt mürarikkad, ”öeldi aruandes. „Pärast ServHelperi installimist võivad TA505 ohutegijad RDP tunneli abil käsitsi ohvriseadmetega ühenduse luua. Turvatehnoloogiad, mis suudavad neid tunneleid tuvastada, võivad osutuda ülioluliseks TA505 tagaukse rünnakute püüdmiseks ja leevendamiseks.
Venemaaga seotud (ja sanktsioneeritud) Evil Corp on olnud viimase viie aasta üks viljakamaid rühmitusi. Vastavalt USA valitsus, on grupp rahalise Trooja Dridexi taga asuv ajutrust ja on seotud kampaaniatega, mis kasutavad lunavara variante, nagu WastedLocker. See jätkab ka relvaparve lihvimist oma arsenali jaoks; eelmisel nädalal tuli ilmsiks, millega seda seostatakse Vaarika Robini infektsioonid.
PTI kasutab ohu jälgimiseks TA505 ja konsensus on kindel kuid mitte universaalne, et TA505 ja Evil Corp on sama grupp. Eelmise kuu aruanne Tervishoiusektori küberturvalisuse koordineerimiskeskus (HC3) ütles, et see ei toeta praegu seda järeldust.
