Rescoms sõidab AceCryptori rämpsposti lainetega

Eelmisel aastal avaldas ESET a blogipostitus AceCryptori kohta – üks populaarsemaid ja levinumaid krüptoreid teenusena (CaaS), mis tegutseb alates 2016. aastast. 1. aasta I poolaasta jaoks avaldasime meie telemeetria statistika, mille kohaselt eelmiste perioodide trendid jätkusid ilma drastiliste muutusteta.

2. aasta teises pooles registreerisime aga olulise muudatuse AceCryptori kasutamises. Me pole mitte ainult näinud ja blokeerinud 2023. aasta 2. poolaasta rünnakuid üle kahe korra, võrreldes 2023. aasta esimese poolega, vaid märkasime ka seda, et Rescoms (tuntud ka kui Remcos) hakkas kasutama AceCryptorit, mida varem polnud.

Valdav osa AceCryptoriga pakitud Rescoms RAT näidistest kasutati esialgse kompromissvektorina mitmes rämpspostikampaanias, mis olid suunatud Euroopa riikidele, sealhulgas Poolale, Slovakkiale, Bulgaariale ja Serbiale.

Selle ajaveebipostituse põhipunktid:

• AceCryptor jätkas 2. aasta teises pooles pakkimisteenuste pakkumist kümnetele väga tuntud pahavaraperekondadele.
• Kuigi turvatoodete poolt hästi tuntud, ei näita AceCryptori levimus langust: vastupidi, Rescomsi kampaaniate tõttu kasvas rünnakute arv oluliselt.
• AceCryptor on teatud riikide ja sihtmärkide (nt konkreetse riigi ettevõtted) sihikule suunatud ohutegijate krüptor.
• 2. aasta teises pooles tuvastas ESET mitu AceCryptor+Rescomsi kampaaniat Euroopa riikides, peamiselt Poolas, Bulgaarias, Hispaanias ja Serbias.
• Nende kampaaniate taga seisnud ohus osaleja kuritarvitas mõnel juhul ohustatud kontosid, et saata rämpsposti, et muuta need võimalikult usaldusväärseks.
• Rämpspostikampaaniate eesmärk oli hankida brauseritesse või e-posti klientidesse salvestatud mandaate, mis avaks eduka kompromissi korral võimalused edasisteks rünneteks.

AceCryptor 2. aasta H2023-s

2023. aasta esimesel poolel kaitses ESET umbes 13,000 42,000 kasutajat AceCryptoriga pakitud pahavara eest. Aasta teisel poolel suurenes tohutult AceCryptoriga pakitud pahavara, mis levis looduses, ja meie tuvastamised kolmekordistusid, mille tulemuseks on üle 1 XNUMX kaitstud ESET-i kasutaja kogu maailmas. Nagu on näha jooniselt XNUMX, tuvastasime mitu pahavara äkilist levikut. Need hüpped näitavad mitut rämpspostikampaaniat, mis on sihitud Euroopa riikidele, kus AceCryptor pakkis Rescoms RAT-i (arutletakse lähemalt Rescomsi kampaaniad jaotis).

Lisaks, kui võrrelda proovide töötlemata arvu: 2023. aasta esimesel poolel tuvastas ESET üle 23,000 2023 unikaalse AceCryptori pahatahtliku proovi; 17,000. aasta teisel poolel nägime ja tuvastasime "ainult" üle 60 XNUMX unikaalse proovi. Kuigi see võib olla ootamatu, on pärast andmete põhjalikumat uurimist mõistlik selgitus. Rescomsi rämpspostikampaaniad kasutasid suuremale hulgale kasutajatele saadetud meilikampaaniates samu pahatahtlikke faile, suurendades nii pahavaraga kokku puutunud inimeste arvu, kuid hoides erinevate failide arvu siiski madalal. Varasematel perioodidel seda ei juhtunud, kuna Rescomsi ei kasutatud peaaegu kunagi koos AceCryptoriga. Unikaalsete proovide arvu vähenemise teine ​​põhjus on see, et mõned populaarsed perekonnad ilmselt lõpetasid (või peaaegu lõpetasid) AceCryptori kasutamise oma CaaS-i juurde. Näiteks on Danaboti pahavara, mis lõpetas AceCryptori kasutamise; ka silmapaistev RedLine Stealer, mille kasutajad lõpetasid AceCryptori kasutamise sama palju, kuna seda pahavara sisaldavate AceCryptori proovide arv vähenes enam kui XNUMX%.

Nagu on näha jooniselt 2, levitab AceCryptor peale Rescomide endiselt paljude erinevate pahavaraperekondade näidiseid, nagu SmokeLoader, STOP lunavara ja Vidar stealer.

2023. aasta esimesel poolel olid AceCryptori pakitud pahavarast enim mõjutatud riigid Peruu, Mehhiko, Egiptus ja Türkiye, kus Peruus (4,700) oli kõige rohkem rünnakuid. Rescomsi rämpspostikampaaniad muutsid seda statistikat aasta teisel poolel dramaatiliselt. Nagu on näha jooniselt 3, mõjutas AceCryptori pakitud pahavara peamiselt Euroopa riike. Kõige enam mõjutatud riik on Poola, kus ESET hoidis ära üle 26,000 1 rünnaku; sellele järgnevad Ukraina, Hispaania ja Serbia. Ja tasub mainida, et kõigis neis riikides hoidsid ESET-i tooted ära rohkem rünnakuid kui 2023. aasta esimesel poolel enim mõjutatud riigis Peruus.

AceCryptori näidised, mida oleme H2-s täheldanud, sisaldasid sageli kahte pahavara perekonda: Rescoms ja SmokeLoader. Ukrainas põhjustas hüppe SmokeLoader. Seda asjaolu oli juba mainitud Ukraina NSDC poolt. Seevastu Poolas, Slovakkias, Bulgaarias ja Serbias põhjustas aktiivsuse suurenemise AceCryptor, mis sisaldas viimase kasuliku koormana Rescome.

Rescomsi kampaaniad

2023. aasta esimesel poolel nägime oma telemeetrias vähem kui sada juhtumit AceCryptori näidistega, mille sees oli Rescoms. Aasta teisel poolel sai Rescomsist üle 32,000 4 tabamusega AceCryptori pakitud kõige levinum pahavaraperekond. Üle poole neist katsetest toimus Poolas, millele järgnesid Serbia, Hispaania, Bulgaaria ja Slovakkia (joonis XNUMX).

Kampaaniad Poolas

Tänu ESET-i telemeetriale oleme suutnud 2. aasta teisel poolel jälgida kaheksat olulist rämpspostikampaaniat, mis sihivad Poolat. Nagu on näha jooniselt 2023, toimus enamik neist septembris, kuid kampaaniaid oli ka augustis ja detsembris.

Kokku registreeris ESET selle perioodi jooksul Poolas üle 26,000 2 sellise rünnaku. Kõik rämpspostikampaaniad olid suunatud Poola ettevõtetele ja kõikidel meilidel olid väga sarnased teemaread BXNUMXB pakkumiste kohta ohvriettevõtetele. Et välja näha võimalikult usutav, lisasid ründajad rämpspostikirjadesse järgmised nipid:

• Meiliaadressid, millega nad teiste ettevõtete imiteeritud domeenidelt rämpsposti saatsid. Ründajad kasutasid teist tippdomeeni, muutsid ettevõtte nimes olevat tähte või mitmesõnalise ettevõttenime puhul sõnade järjekorda (seda tehnikat nimetatakse typosquattingiks).
• Kõige tähelepanuväärsem on see, et kaasatud on mitu kampaaniat ärimeili kompromiss – ründajad kuritarvitasid teiste ettevõtte töötajate varem ohustatud meilikontosid, et saata rämpsposti. Sel moel isegi kui potentsiaalne ohver otsis tavalisi punaseid lippe, polnud neid lihtsalt olemas ja e-kiri nägi välja nii õiguspärane, kui see võis olla.

Ründajad tegid oma uurimistööd ja kasutasid nende e-kirjade allkirjastamisel olemasolevaid Poola ettevõtete nimesid ja isegi olemasolevaid töötajate/omanike nimesid ja kontaktteavet. Seda tehti selleks, et juhul, kui ohver proovib saatja nime guugeldada, õnnestuks otsing, mis võib viia pahatahtliku manuse avamiseni.

• Rämpsposti kirjade sisu oli mõnel juhul lihtsam, kuid paljudel juhtudel (nagu näide joonisel 6) üsna keerukas. Eriti ohtlikuks tuleks pidada neid keerukamaid versioone, kuna need kalduvad kõrvale üldteksti standardmustrist, mis on sageli täis grammatilisi vigu.

Joonisel 6 näidatud e-kiri sisaldab teadet, millele järgneb teave väidetava saatja tehtud isikuandmete töötlemise kohta ja võimalus "juurdepääs oma andmete sisule ning õigus neid parandada, kustutada, piirata töötlemispiiranguid, õigus andmete edastamisele , õigus esitada vastuväide ja õigus esitada kaebus järelevalveasutusele”. Sõnumi ennast saab tõlkida järgmiselt:

Lugupeetud

Olen Sylwester [redakteeritud] alates [redakteeritud]. Teie ettevõtet soovitas meile äripartner. Palun tsiteerida lisatud tellimuste nimekirja. Palun teavitage meid ka maksetingimustest.

Ootame teie vastust ja edasist arutelu.

-

Parimate soovidega,

Kõikide kampaaniate manused nägid üsna sarnased välja (joonis 7). E-kirjad sisaldasid manustatud arhiivi või ISO-faili nimega pakkumine/päring (muidugi poola keeles), mõnel juhul ka tellimuse numbriga. See fail sisaldas AceCryptori käivitatavat faili, mis pakkis lahti ja käivitas Rescomsi.

Pahavara käitumise põhjal eeldame, et nende kampaaniate eesmärk oli hankida meili- ja brauserimandaadid ning seeläbi saada esialgne juurdepääs sihitud ettevõtetele. Kuigi pole teada, kas volikirjad koguti rünnakute toime pannud rühmituse jaoks või müüakse need varastatud volikirjad hiljem teistele ohus osalejatele, on kindel, et edukas kompromiss avab võimaluse edasisteks rünnakuteks, eriti praegu populaarsete rünnakute jaoks. lunavara rünnakud.

Oluline on märkida, et Rescoms RATi saab osta; seega kasutavad paljud ohus osalejad seda oma operatsioonides. Neid kampaaniaid ei ühenda mitte ainult sihtmärkide sarnasus, manuste struktuur, meili tekst või potentsiaalsete ohvrite petmiseks kasutatavad nipid ja tehnikad, vaid ka mõned vähem ilmsed omadused. Pahavaras endas suutsime leida artefakte (nt Rescomsi litsentsi ID), mis need kampaaniad omavahel seovad, paljastades, et paljud neist rünnakutest sooritas üks ohus osaleja.

Kampaaniad Slovakkias, Bulgaarias ja Serbias

Poola kampaaniatega samadel perioodidel registreeris ESET-i telemeetria käimasolevaid kampaaniaid ka Slovakkias, Bulgaarias ja Serbias. Need kampaaniad olid samuti suunatud peamiselt kohalikele ettevõtetele ja isegi pahavaras endas võime leida artefakte, mis seovad need kampaaniad sama ohutegijaga, kes viis kampaaniaid läbi Poolas. Ainus oluline asi, mis muutus, oli loomulikult rämpspostides kasutatud keel, mis sobiks nende konkreetsete riikide jaoks.

Kampaaniad Hispaanias

Lisaks eelnevalt mainitud kampaaniatele koges Hispaanias ka rämpsposti e-kirjade vohamist, mille lõplikuks koormuseks oli Rescoms. Ehkki saame kinnitada, et vähemalt ühe kampaania viis läbi sama ohutegelane, mis eelmistel juhtudel, järgisid teised kampaaniad mõnevõrra teistsugust mustrit. Veelgi enam, isegi varasematel juhtudel samasugused artefaktid erinesid nende poolest ja seetõttu ei saa me järeldada, et Hispaania kampaaniad pärinevad samast kohast.

Järeldus

2023. aasta teisel poolel tuvastasime nihke AceCryptori – populaarse krüptori, mida kasutavad mitmed ohus osalejad paljude pahavaraperekondade pakkimiseks – kasutuses. Kuigi mõnede pahavaraperekondade, nagu RedLine Stealer, levimus langes, hakkasid teised ohus osalejad seda kasutama või kasutasid seda oma tegevustes veelgi enam ja AceCryptor on endiselt tugev. Nendes kampaaniates kasutati AceCryptorit mitme Euroopa riigi sihtimiseks ja teabe hankimiseks. või saada esmane juurdepääs mitmele ettevõttele. Nende rünnakute puhul levitati pahavara rämpspostiga, mis oli mõnel juhul üsna veenev; mõnikord saadeti rämpspost isegi seaduslikelt, kuid kuritarvitatud meilikontodelt. Kuna selliste meilide manuste avamisel võivad olla teile või teie ettevõttele tõsised tagajärjed, soovitame teil olla teadlik sellest, mida avate, ja kasutada usaldusväärset lõpp-punkti turvatarkvara, mis suudab pahavara tuvastada.

Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil ohuintel@eset.com.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.

IoC-d

Kompromissiindikaatorite (IoC) põhjaliku loendi leiate meie veebisaidilt GitHubi hoidla.

Faile

SHA-1	Faili	Detection	Kirjeldus
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	2023. aasta detsembris Serbias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	2023. aasta septembris Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	2023. aasta septembris Poolas ja Bulgaarias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	2023. aasta septembris Serbias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	2023. aasta septembris Bulgaarias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	2023. aasta augustis Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	2023. aasta augustis Serbias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Bulgaarias 2023. aasta augustis läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	2023. aasta augustis Slovakkias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	2023. aasta detsembris Bulgaarias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	2023. aasta septembris Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	2023. aasta septembris Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	2023. aasta septembris Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	2023. aasta septembris Serbias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	2023. aasta detsembris Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	2023. aasta septembris Poolas läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	2023. aasta augustis Hispaanias läbi viidud rämpspostikampaaniast tulenev pahatahtlik manus.

MITER ATT&CK tehnikad

See laud on ehitatud kasutades versioon 14 MITER ATT&CK raamistikust.

Taktika	ID	Nimi	Kirjeldus
Tutvumine	T1589.002	Koguge ohvri isikuandmeid: e-posti aadressid	Andmepüügikampaaniates kasutati e-posti aadresse ja kontaktteavet (kas ostetud või kogutud avalikult kättesaadavatest allikatest), et sihtida ettevõtteid mitmes riigis.
Ressursside arendamine	T1586.002	Kompromisskontod: meilikontod	Ründajad kasutasid rämpsposti kampaaniates andmepüügimeilide saatmiseks ohustatud meilikontosid, et suurendada rämpsposti usaldusväärsust.
	T1588.001	Hankige võimalused: pahavara	Ründajad ostsid ja kasutasid andmepüügikampaaniate jaoks AceCryptorit ja Rescomsi.
Esialgne juurdepääs	T1566	Phishing	Ründajad kasutasid pahatahtlike manustega andmepüügisõnumeid arvutite ohustamiseks ja teabe varastamiseks mitme Euroopa riigi ettevõtetelt.
	T1566.001	Andmepüük: andmepüügimanus	Ründajad kasutasid andmepüügi sõnumeid, et ohustada arvuteid ja varastada teavet mitme Euroopa riigi ettevõtetelt.
Täitmine	T1204.002	Kasutaja täitmine: pahatahtlik fail	Ründajad tuginesid sellele, et kasutajad avasid ja käivitasid pahatahtlikke faile AceCryptori pakitud pahavaraga.
Juurdepääs mandaatidele	T1555.003	Mandaat paroolipoodidest: mandaat veebibrauserites	Ründajad üritasid brauseritelt ja meiliklientidelt mandaaditeavet varastada.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/