Rescoms امواج اسپم AceCryptor را کنترل می کند

سال گذشته ESET یک پست وبلاگ در مورد AceCryptor – یکی از محبوب ترین و رایج ترین رمزارزها به عنوان سرویس (CaaS) که از سال 2016 فعالیت می کند. برای H1 2023 منتشر کردیم آماری از تله متری ما که بر اساس آن روندهای دوره های قبل بدون تغییرات شدید ادامه یافت.

با این حال، در H2 2023 تغییر قابل توجهی در نحوه استفاده از AceCryptor ثبت کردیم. ما نه تنها شاهد دو برابر شدن حملات در H2 2023 در مقایسه با H1 2023 بودیم، بلکه متوجه شدیم که Rescoms (همچنین به عنوان Remcos شناخته می شود) شروع به استفاده از AceCryptor کرده است که قبلاً چنین نبود.

اکثریت قریب به اتفاق نمونه‌های Rescoms RAT بسته‌بندی شده با AceCryptor به عنوان یک بردار سازش اولیه در کمپین‌های هرزنامه‌های متعددی که کشورهای اروپایی از جمله لهستان، اسلواکی، بلغارستان و صربستان را هدف قرار می‌دهند، استفاده شد.

نکات کلیدی این وبلاگ:

• AceCryptor به ارائه خدمات بسته بندی به ده ها خانواده بدافزار بسیار شناخته شده در H2 2023 ادامه داد.
• با وجود اینکه توسط محصولات امنیتی به خوبی شناخته شده است، شیوع AceCryptor نشانه هایی از کاهش را نشان نمی دهد: برعکس، تعداد حملات به طور قابل توجهی به دلیل کمپین های Rescoms افزایش یافته است.
• AceCryptor رمزگذار انتخابی از بازیگران تهدید است که کشورها و اهداف خاصی را هدف قرار می دهد (به عنوان مثال، شرکت هایی در یک کشور خاص).
• در H2 2023، ESET چندین کمپین AceCryptor+Rescoms را در کشورهای اروپایی، عمدتاً لهستان، بلغارستان، اسپانیا و صربستان شناسایی کرد.
• عامل تهدید در پشت آن کمپین ها در برخی موارد از حساب های در معرض خطر برای ارسال ایمیل های اسپم سوء استفاده کرد تا آنها را تا حد ممکن معتبر جلوه دهد.
• هدف کمپین های هرزنامه به دست آوردن اعتبار ذخیره شده در مرورگرها یا کلاینت های ایمیل بود که در صورت توافق موفقیت آمیز، احتمال حملات بعدی را باز می کرد.

AceCryptor در H2 2023

در نیمه اول سال 2023، ESET از حدود 13,000 کاربر در برابر بدافزارهای AceCryptor محافظت کرد. در نیمه دوم سال، افزایش گسترده بدافزارهای بسته بندی شده با AceCryptor در طبیعت گسترش یافت، با شناسایی های ما سه برابر شد، که منجر به بیش از 42,000 کاربر محافظت شده ESET در سراسر جهان شد. همانطور که در شکل 1 مشاهده می شود، ما امواج ناگهانی متعددی از انتشار بدافزار را شناسایی کردیم. این جهش‌ها چندین کمپین هرزنامه را با هدف کشورهای اروپایی نشان می‌دهند که در آن‌ها AceCryptor یک Rescoms RAT را بسته‌بندی کرده است (بیشتر در کمپین های Rescoms بخش).

علاوه بر این، وقتی تعداد خام نمونه ها را مقایسه می کنیم: در نیمه اول سال 2023، ESET بیش از 23,000 نمونه مخرب منحصر به فرد AceCryptor را شناسایی کرد. در نیمه دوم سال 2023، ما "تنها" بیش از 17,000 نمونه منحصر به فرد را دیدیم و شناسایی کردیم. اگرچه ممکن است این غیرمنتظره باشد، پس از نگاهی دقیق تر به داده ها، توضیح معقولی وجود دارد. کمپین‌های هرزنامه Rescoms از فایل(های) مخرب یکسانی در کمپین‌های ایمیلی که برای تعداد بیشتری از کاربران ارسال می‌شد استفاده می‌کردند، بنابراین تعداد افرادی که با بدافزار مواجه شدند افزایش یافت، اما همچنان تعداد فایل‌های مختلف کم بود. این اتفاق در دوره های قبلی رخ نداد زیرا Rescoms تقریباً هرگز در ترکیب با AceCryptor استفاده نمی شد. یکی دیگر از دلایل کاهش تعداد نمونه‌های منحصربه‌فرد این است که برخی از خانواده‌های محبوب ظاهراً استفاده از AceCryptor را به عنوان CaaS متوقف کردند (یا تقریباً متوقف کردند). یک مثال بدافزار Danabot است که استفاده از AceCryptor را متوقف کرد. همچنین، Stealer برجسته RedLine که کاربرانش از AceCryptor استفاده نکردند، بر اساس کاهش بیش از 60٪ در نمونه های AceCryptor حاوی آن بدافزار.

همانطور که در شکل 2 مشاهده می شود، AceCryptor همچنان، به غیر از Rescoms، نمونه هایی از خانواده های مختلف بدافزار مانند SmokeLoader، STOP ransomware و Vidar stealer را توزیع می کند.

در نیمه اول سال 2023، کشورهایی که بیشتر تحت تاثیر بدافزار بسته بندی شده توسط AceCryptor قرار گرفتند، پرو، مکزیک، مصر و ترکیه بودند که پرو با 4,700 مورد بیشترین تعداد حملات را داشت. کمپین های هرزنامه Rescoms این آمار را به طرز چشمگیری در نیمه دوم سال تغییر دادند. همانطور که در شکل 3 مشاهده می شود، بدافزار بسته بندی شده با AceCryptor بیشتر کشورهای اروپایی را تحت تاثیر قرار داده است. بیشترین آسیب دیده ترین کشور لهستان است، جایی که ESET از بیش از 26,000 حمله جلوگیری کرد. پس از آن اوکراین، اسپانیا و صربستان قرار دارند. و شایان ذکر است که در هر یک از این کشورها، محصولات ESET از حملات بیشتری نسبت به کشوری که بیشترین آسیب را در نیمه اول 1، پرو داشت، جلوگیری کرد.

نمونه‌های AceCryptor که ما در H2 مشاهده کرده‌ایم، اغلب شامل دو خانواده بدافزار به‌عنوان محموله‌شان بود: Rescoms و SmokeLoader. یک جهش در اوکراین توسط SmokeLoader ایجاد شد. این واقعیت قبلا ذکر شد توسط NSDC اوکراین. از سوی دیگر، در لهستان، اسلواکی، بلغارستان و صربستان افزایش فعالیت توسط AceCryptor حاوی Rescoms به عنوان بار نهایی ایجاد شد.

کمپین های Rescoms

در نیمه اول سال 2023، ما در تله متری خود شاهد کمتر از صد مورد نمونه AceCryptor با Rescoms در داخل بودیم. در نیمه دوم سال، Rescoms با بیش از 32,000 بازدید، تبدیل به رایج‌ترین خانواده بدافزاری شد که توسط AceCryptor بسته‌بندی شده بود. بیش از نیمی از این تلاش ها در لهستان و به دنبال آن صربستان، اسپانیا، بلغارستان و اسلواکی انجام شد (شکل 4).

کمپین ها در لهستان

به لطف تله متری ESET، ما توانستیم هشت کمپین هرزنامه قابل توجهی را که لهستان را در نیمه دوم سال 2 هدف قرار داده بودند، مشاهده کنیم. همانطور که در شکل 2023 مشاهده می شود، اکثر آنها در سپتامبر اتفاق افتادند، اما کمپین هایی در ماه آگوست و دسامبر نیز وجود داشت.

در مجموع، ESET بیش از 26,000 مورد از این حملات را در این دوره در لهستان ثبت کرده است. همه کمپین‌های هرزنامه، مشاغل در لهستان را هدف قرار می‌دادند و همه ایمیل‌ها موضوعات بسیار مشابهی درباره پیشنهادات B2B برای شرکت‌های قربانی داشتند. برای اینکه تا حد امکان باورپذیر به نظر برسند، مهاجمان ترفندهای زیر را در ایمیل های اسپم گنجانده اند:

• آدرس‌های ایمیلی که آنها ایمیل‌های اسپم را از دامنه‌های تقلید شده شرکت‌های دیگر ارسال می‌کردند. مهاجمان از TLD متفاوتی استفاده کردند، یک حرف در نام شرکت یا ترتیب کلمه را در مورد نام شرکت چند کلمه ای تغییر دادند (این تکنیک به عنوان typosquatting شناخته می شود).
• قابل توجه ترین این است که کمپین های متعدد درگیر است سازش ایمیل تجاری - مهاجمان از حساب‌های ایمیل قبلاً در معرض خطر سایر کارمندان شرکت برای ارسال ایمیل‌های اسپم سوء استفاده کردند. به این ترتیب حتی اگر قربانی بالقوه به دنبال پرچم‌های قرمز معمولی می‌گشت، آنها آنجا نبودند و ایمیل تا آنجا که می‌توانست مشروع به نظر می‌رسید.

مهاجمان تحقیقات خود را انجام دادند و از نام‌های شرکت لهستانی و حتی نام کارمندان/مالک موجود و اطلاعات تماس هنگام امضای آن ایمیل‌ها استفاده کردند. این کار به این دلیل انجام شد که در مواردی که قربانی سعی می‌کند نام فرستنده را در گوگل جستجو کند، جستجو موفقیت‌آمیز باشد که ممکن است منجر به باز کردن پیوست مخرب شود.

• محتوای ایمیل های هرزنامه در برخی موارد ساده تر اما در بسیاری از موارد (مانند مثال در شکل 6) کاملاً مفصل بود. به خصوص این نسخه های مفصل تر باید خطرناک تلقی شوند زیرا از الگوی استاندارد متن عمومی که اغلب مملو از اشتباهات گرامری است منحرف می شوند.

ایمیل نشان داده شده در شکل 6 حاوی پیامی است که به دنبال آن اطلاعاتی در مورد پردازش اطلاعات شخصی انجام شده توسط فرستنده ادعا شده و امکان "دسترسی به محتوای داده های شما و حق اصلاح، حذف، محدود کردن محدودیت های پردازش، حق انتقال داده ها وجود دارد. حق اعتراض و حق شکایت نزد مقام ناظر. خود پیام را می توان اینگونه ترجمه کرد:

آقای محترم،

من سیلوستر هستم [تدوین شده] از [تدوین شده]. شرکت شما توسط یک شریک تجاری به ما توصیه شده است. لطفا لیست سفارش پیوست را نقل قول کنید. لطفا شرایط پرداخت را نیز به ما اطلاع دهید.

منتظر پاسخ و بحث بیشتر شما هستیم.

-

با احترام،

پیوست‌ها در همه کمپین‌ها کاملاً مشابه به نظر می‌رسند (شکل 7). ایمیل ها حاوی یک آرشیو پیوست شده یا فایل ISO به نام پیشنهاد/پرسش (البته به زبان لهستانی) بود که در برخی موارد با شماره سفارش نیز همراه بود. آن فایل حاوی یک فایل اجرایی AceCryptor بود که Rescoms را باز کرده و راه اندازی می کرد.

بر اساس رفتار بدافزار، ما فرض می‌کنیم که هدف این کمپین‌ها به دست آوردن اعتبار ایمیل و مرورگر و در نتیجه دسترسی اولیه به شرکت‌های هدف بوده است. در حالی که مشخص نیست که آیا این اعتبارنامه ها برای گروهی که این حملات را انجام داده اند جمع آوری شده است یا اینکه اعتبارنامه های سرقت شده بعداً به سایر عوامل تهدید فروخته می شود، مسلم است که سازش موفقیت آمیز امکان حملات بیشتر را به خصوص از طرفی که در حال حاضر محبوب هستند، باز می کند. حملات باج افزار

مهم است که بگوییم Rescoms RAT قابل خرید است. بنابراین بسیاری از عوامل تهدید از آن در عملیات خود استفاده می کنند. این کمپین‌ها نه تنها با شباهت هدف، ساختار پیوست، متن ایمیل، یا ترفندها و تکنیک‌هایی که برای فریب قربانیان احتمالی استفاده می‌شوند، به هم مرتبط می‌شوند، بلکه با برخی ویژگی‌های کمتر آشکار نیز مرتبط هستند. در خود بدافزار، ما توانستیم مصنوعاتی را پیدا کنیم (مثلاً شناسه مجوز برای Rescoms) که این کمپین‌ها را به هم پیوند می‌دهد و نشان می‌دهد که بسیاری از این حملات توسط یک عامل تهدید انجام شده است.

کمپین های تبلیغاتی در اسلواکی، بلغارستان و صربستان

در طول دوره‌های زمانی مشابه با کمپین‌ها در لهستان، تله‌متری ESET کمپین‌های جاری را در اسلواکی، بلغارستان و صربستان نیز ثبت کرد. این کمپین‌ها همچنین عمدتاً شرکت‌های محلی را هدف قرار می‌دهند و حتی می‌توانیم مصنوعاتی را در خود بدافزار پیدا کنیم که این کمپین‌ها را به همان عامل تهدیدکننده‌ای که کمپین‌ها را در لهستان انجام داده است، مرتبط می‌کند. تنها چیزی که تغییر کرد، البته زبان مورد استفاده در ایمیل‌های هرزنامه بود که برای آن کشورهای خاص مناسب باشد.

کمپین ها در اسپانیا

جدای از کمپین‌هایی که قبلاً ذکر شد، اسپانیا نیز با افزایش ایمیل‌های اسپم با Rescoms به‌عنوان بار نهایی مواجه شد. حتی اگر می‌توانیم تأیید کنیم که حداقل یکی از کمپین‌ها توسط همان عامل تهدید مانند موارد قبلی انجام شده است، کمپین‌های دیگر از الگوی متفاوتی پیروی کردند. علاوه بر این، حتی مصنوعاتی که در موارد قبلی یکسان بودند نیز در این موارد متفاوت بودند و به همین دلیل، نمی‌توانیم نتیجه بگیریم که کمپین‌ها در اسپانیا از یک مکان سرچشمه گرفته‌اند.

نتیجه

در نیمه دوم سال 2023، تغییری را در استفاده از AceCryptor شناسایی کردیم - یک رمزارز محبوب که توسط چندین بازیگر تهدید برای بسته‌بندی بسیاری از خانواده‌های بدافزار استفاده می‌شود. اگرچه شیوع برخی از خانواده‌های بدافزار مانند RedLine Stealer کاهش یافت، سایر عوامل تهدید شروع به استفاده از آن کردند یا حتی بیشتر از آن برای فعالیت‌های خود استفاده کردند و AceCryptor همچنان قوی است. در این کمپین‌ها از AceCryptor برای هدف قرار دادن چندین کشور اروپایی و استخراج اطلاعات استفاده شد. یا دسترسی اولیه به چندین شرکت داشته باشید. بدافزار در این حملات در ایمیل‌های اسپم توزیع می‌شد که در برخی موارد کاملاً قانع‌کننده بودند. گاهی اوقات هرزنامه حتی از حساب های ایمیل قانونی اما سوء استفاده شده ارسال می شد. از آنجایی که باز کردن پیوست‌ها از چنین ایمیل‌هایی می‌تواند عواقب شدیدی برای شما یا شرکت شما داشته باشد، توصیه می‌کنیم از آنچه باز می‌کنید آگاه باشید و از نرم‌افزار امنیتی نقطه پایانی مطمئنی که قادر به شناسایی بدافزار است استفاده کنید.

برای هر گونه سوال در مورد تحقیقات ما منتشر شده در WeLiveSecurity، لطفا با ما تماس بگیرید gefintel@eset.com.
ESET Research گزارش های اطلاعاتی خصوصی APT و فیدهای داده را ارائه می دهد. برای هرگونه سوال در مورد این سرویس، به آدرس زیر مراجعه کنید ESET Threat Intelligence احتمال برد مراجعه کنید.

IoC ها

فهرست جامعی از شاخص‌های سازش (IoC) را می‌توانید در ما پیدا کنید مخزن GitHub.

فایل ها

SHA-1	نام فایل	کشف	توضیحات:
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	پیوست مخرب از کمپین هرزنامه که در دسامبر 2023 در صربستان انجام شد.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در لهستان انجام شد.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	پیوست مخرب از کمپین هرزنامه که در لهستان و بلغارستان در سپتامبر 2023 انجام شد.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در صربستان انجام شد.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	پیوست مخرب از کمپین هرزنامه که در ماه سپتامبر 2023 در بلغارستان انجام شد.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	پیوست مخرب از کمپین هرزنامه که در اوت 2023 در لهستان انجام شد.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	پیوست مخرب از کمپین هرزنامه که در اوت 2023 در صربستان انجام شد.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	پیوست مخرب از کمپین هرزنامه که در ماه اوت 2023 در بلغارستان انجام شد.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	پیوست مخرب از کمپین هرزنامه که در اسلواکی در اوت 2023 انجام شد.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	پیوست مخرب از کمپین هرزنامه که در دسامبر 2023 در بلغارستان انجام شد.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در لهستان انجام شد.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در لهستان انجام شد.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در لهستان انجام شد.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در صربستان انجام شد.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	پیوست مخرب از کمپین هرزنامه که در دسامبر 2023 در لهستان انجام شد.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	لیستا زاموویئن و szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	پیوست مخرب از کمپین هرزنامه که در سپتامبر 2023 در لهستان انجام شد.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	پیوست مخرب از کمپین هرزنامه که در اوت 2023 در اسپانیا انجام شد.

تکنیک های MITER ATT&CK

این جدول با استفاده از 14 نسخه چارچوب MITER ATT&CK.

تاکتیک	ID	نام	توضیحات:
شناسایی	T1589.002	اطلاعات هویت قربانی را جمع آوری کنید: آدرس های ایمیل	آدرس‌های ایمیل و اطلاعات تماس (چه خریداری شده و چه از منابع در دسترس عموم جمع‌آوری شده) در کمپین‌های فیشینگ برای هدف قرار دادن شرکت‌ها در کشورهای مختلف مورد استفاده قرار گرفتند.
توسعه منابع	T1586.002	حساب‌های در معرض خطر: حساب‌های ایمیل	مهاجمان از حساب‌های ایمیل در معرض خطر برای ارسال ایمیل‌های فیشینگ در کمپین‌های اسپم استفاده کردند تا اعتبار ایمیل‌های هرزنامه را افزایش دهند.
	T1588.001	به دست آوردن قابلیت ها: بدافزار	مهاجمان AceCryptor و Rescoms را برای کمپین های فیشینگ خریداری و استفاده کردند.
دسترسی اولیه	T1566	فیشینگ	مهاجمان از پیام‌های فیشینگ با پیوست‌های مخرب برای به خطر انداختن رایانه‌ها و سرقت اطلاعات شرکت‌ها در چندین کشور اروپایی استفاده کردند.
	T1566.001	فیشینگ: ضمیمه Spearphishing	مهاجمان از پیام‌های spearphishing برای به خطر انداختن رایانه‌ها و سرقت اطلاعات شرکت‌ها در چندین کشور اروپایی استفاده کردند.
اعدام	T1204.002	اجرای کاربر: فایل مخرب	مهاجمان به باز کردن و راه‌اندازی فایل‌های مخرب توسط کاربران متکی بودند که توسط AceCryptor بسته‌بندی شده بودند.
دسترسی به اعتبار	T1555.003	اعتبار از فروشگاه های رمز عبور: اعتبار از مرورگرهای وب	مهاجمان سعی کردند اطلاعات اعتبار را از مرورگرها و کلاینت های ایمیل به سرقت ببرند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/