Rescoms ajaa AceCryptor-roskapostin aaltoja

Viime vuonna ESET julkaisi a blogikirjoitus AceCryptorista – yksi suosituimmista ja yleisimmistä kryptoreista palveluna (CaaS), joka on toiminut vuodesta 2016. Vuoden 1 ensimmäiselle puoliskolle julkaisimme telemetriamme tilastot, joiden mukaan aiempien kausien trendit jatkuivat ilman suuria muutoksia.

Vuoden 2 toisella puoliskolla havaitsimme kuitenkin merkittävän muutoksen AceCryptorin käytössä. Sen lisäksi, että olemme nähneet ja estäneet yli kaksinkertaisia ​​hyökkäyksiä vuoden 2023 toisella puoliskolla verrattuna vuoden 2 ensimmäiseen puoliskoon, olemme myös huomanneet, että Rescoms (tunnetaan myös nimellä Remcos) alkoi käyttää AceCryptoria, mitä ei ollut aiemmin.

Suurin osa AceCryptor-pakatuista Rescoms RAT -näytteistä käytettiin alustavana kompromissivektorina useissa Euroopan maihin, kuten Puolaan, Slovakiaan, Bulgariaan ja Serbiaan, kohdistetuissa roskapostikampanjoissa.

Tämän blogikirjoituksen pääkohdat:

• AceCryptor jatkoi pakkauspalvelujen tarjoamista kymmenille erittäin tunnetuille haittaohjelmaperheille vuoden 2 toisella puoliskolla.
• Vaikka tietoturvatuotteet tunnetaan hyvin, AceCryptorin levinneisyys ei osoita laskun merkkejä: päinvastoin, hyökkäysten määrä kasvoi merkittävästi Rescoms-kampanjoiden ansiosta.
• AceCryptor on uhkatoimijoiden salausohjelma, joka kohdistuu tiettyihin maihin ja kohteisiin (esim. tietyn maan yrityksiin).
• Vuoden 2 toisella puoliskolla ESET havaitsi useita AceCryptor+Rescoms-kampanjoita Euroopan maissa, pääasiassa Puolassa, Bulgariassa, Espanjassa ja Serbiassa.
• Näiden kampanjoiden takana oleva uhkatekijä käytti joissakin tapauksissa väärin vaarantuneita tilejä lähettääkseen roskapostiviestejä saadakseen ne näyttämään mahdollisimman uskottavilta.
• Roskapostikampanjoiden tavoitteena oli hankkia selaimiin tai sähköpostiohjelmiin tallennetut tunnistetiedot, jotka onnistuneen kompromissin tapauksessa avaisivat mahdollisuuksia myöhemmille hyökkäyksille.

AceCryptor H2 2023:ssa

Vuoden 2023 ensimmäisellä puoliskolla ESET suojasi noin 13,000 42,000 käyttäjää AceCryptor-pakkauksilta haittaohjelmilta. Vuoden toisella puoliskolla AceCryptor-pakkattujen haittaohjelmien leviäminen luonnossa lisääntyi valtavasti, ja havaitsemisemme kolminkertaistuivat, mikä johti yli 1 XNUMX suojattuun ESET-käyttäjään maailmanlaajuisesti. Kuten kuvasta XNUMX voidaan havaita, havaitsimme useita äkillisiä haittaohjelmien leviämisaaltoja. Nämä piikit osoittavat useita roskapostikampanjoita, jotka on kohdistettu Euroopan maihin, joissa AceCryptor pakkasi Rescoms RAT:n (käsiteltiin lisää Rescoms-kampanjat kohta).

Lisäksi, kun vertaamme raakanäytteiden määrää: vuoden 2023 ensimmäisellä puoliskolla ESET havaitsi yli 23,000 2023 ainutlaatuista haitallista AceCryptor-näytettä; vuoden 17,000 jälkipuoliskolla näimme ja havaitsimme "vain" yli 60 XNUMX ainutlaatuista näytettä. Vaikka tämä saattaa olla odottamatonta, tietojen tarkemman tarkastelun jälkeen on järkevä selitys. Rescomsin roskapostikampanjat käyttivät samoja haitallisia tiedostoja sähköpostikampanjoissa, jotka lähetettiin suuremmalle määrälle käyttäjiä, mikä lisäsi haittaohjelman kohtaaneiden ihmisten määrää, mutta piti silti eri tiedostojen määrän alhaisena. Näin ei tapahtunut aikaisemmilla jaksoilla, koska Rescomsia ei juuri koskaan käytetty yhdessä AceCryptorin kanssa. Toinen syy yksilöllisten näytteiden määrän vähenemiseen on se, että jotkin suositut perheet ilmeisesti lopettivat (tai melkein lopettivat) AceCryptorin käytön CaaS:ään. Esimerkki on Danabot-haittaohjelma, joka lopetti AceCryptorin käytön; myös näkyvä RedLine Stealer, jonka käyttäjät lopettivat AceCryptorin käytön yhtä paljon, koska kyseistä haittaohjelmaa sisältävien AceCryptor-näytteiden määrä on vähentynyt yli XNUMX %.

Kuten kuvasta 2 nähdään, AceCryptor jakaa edelleen, Rescomeja lukuun ottamatta, näytteitä monista eri haittaohjelmaperheistä, kuten SmokeLoader, STOP ransomware ja Vidar stealer.

Vuoden 2023 ensimmäisellä puoliskolla maat, joihin AceCryptorin pakkaamat haittaohjelmat vaikuttivat eniten, olivat Peru, Meksiko, Egypti ja Türkiye, joissa Perussa, 4,700 3, oli eniten hyökkäyksiä. Rescomsin roskapostikampanjat muuttivat näitä tilastoja dramaattisesti vuoden toisella puoliskolla. Kuten kuvasta 26,000 voidaan nähdä, AceCryptorilla pakatut haittaohjelmat vaikuttivat enimmäkseen Euroopan maihin. Ylivoimaisesti eniten kärsinyt maa on Puola, jossa ESET esti yli 1 2023 hyökkäystä. tätä seuraavat Ukraina, Espanja ja Serbia. Ja on syytä mainita, että kussakin näistä maista ESET-tuotteet estivät enemmän hyökkäyksiä kuin vuoden XNUMX ensimmäisellä puoliskolla eniten kärsineessä maassa, Perussa.

AceCryptor-näytteet, joita olemme havainneet H2:ssa, sisälsivät usein hyötykuormanaan kaksi haittaohjelmaperhettä: Rescoms ja SmokeLoader. SmokeLoader aiheutti piikin Ukrainassa. Tämä tosiasia mainittiin jo Ukrainan NSDC:n toimesta. Toisaalta Puolassa, Slovakiassa, Bulgariassa ja Serbiassa lisääntynyt aktiivisuus johtui AceCryptorista, joka sisälsi Rescomeja lopullisena hyötykuormana.

Rescoms-kampanjat

Vuoden 2023 ensimmäisellä puoliskolla näimme telemetriassamme alle sata tapausta AceCryptor-näytteistä, joissa oli Rescomeja. Vuoden toisella puoliskolla Rescomsista tuli yleisin AceCryptorin pakkaama haittaohjelmaperhe yli 32,000 4 osumalla. Yli puolet näistä yrityksistä tapahtui Puolassa, jota seurasivat Serbia, Espanja, Bulgaria ja Slovakia (kuva XNUMX).

Kampanjat Puolassa

ESET-telemetrian ansiosta olemme voineet havaita kahdeksan merkittävää Puolaan kohdistuvaa roskapostikampanjaa vuoden 2 toisella puoliskolla. Kuten kuvasta 2023 näkyy, suurin osa niistä tapahtui syyskuussa, mutta kampanjoita oli myös elo- ja joulukuussa.

Yhteensä ESET rekisteröi yli 26,000 2 tällaista hyökkäystä Puolassa tälle ajanjaksolle. Kaikki roskapostikampanjat kohdistuivat Puolan yrityksiin, ja kaikissa sähköposteissa oli hyvin samankaltaiset aiherivit BXNUMXB-tarjouksista uhreille yrityksille. Näyttääkseen mahdollisimman uskottavalta hyökkääjät sisällyttivät roskapostisähköpostiin seuraavat temput:

• Sähköpostiosoitteet, joissa he lähettivät roskapostiviestejä muiden yritysten jäljitellyiltä verkkotunnuksilta. Hyökkääjät käyttivät toista TLD:tä, muuttivat yrityksen nimen kirjainta tai sanajärjestystä, jos yrityksen nimi oli monisanainen (tämä tekniikka tunnetaan nimellä typosquatting).
• Huomionarvoisinta on, että mukana on useita kampanjoita yrityssähköpostikompromissi – hyökkääjät käyttivät väärin muiden yrityksen työntekijöiden aiemmin vaarantuneita sähköpostitilejä lähettääkseen roskapostiviestejä. Tällä tavalla vaikka mahdollinen uhri etsi tavanomaisia ​​punaisia ​​lippuja, niitä ei vain ollut, ja sähköposti näytti niin oikeutetulta kuin se voisi olla.

Hyökkääjät tekivät tutkimustaan ​​ja käyttivät olemassa olevia puolalaisia ​​yritysten nimiä ja jopa olemassa olevia työntekijöiden/omistajien nimiä ja yhteystietoja allekirjoittaessaan nämä sähköpostit. Tämä tehtiin, jotta siinä tapauksessa, että uhri yrittää Googlettaa lähettäjän nimeä, haku onnistuisi, mikä saattaisi johtaa haitallisen liitteen avaamiseen.

• Roskapostiviestien sisältö oli joissain tapauksissa yksinkertaisempaa, mutta monissa tapauksissa (kuten kuvan 6 esimerkki) varsin monimutkainen. Varsinkin näitä monimutkaisempia versioita tulisi pitää vaarallisina, koska ne poikkeavat yleistekstin vakiomallista, joka on usein täynnä kielioppivirheitä.

Kuvassa 6 näkyvä sähköposti sisältää viestin, jota seuraa tiedot väitetyn lähettäjän suorittamasta henkilötietojen käsittelystä ja mahdollisuudesta päästä käsiksi tietojesi sisältöön ja oikeus oikaista, poistaa, rajoittaa käsittelyrajoituksia, oikeus tiedonsiirtoon , oikeus esittää vastalause ja oikeus tehdä valitus valvontaviranomaiselle." Itse viesti voidaan kääntää näin:

Hyvä herra,

Olen Sylwester [muokattu] kohteesta [muokattu]. Liikekumppani suositteli meille yritystäsi. Lainaa liitteenä olevaa tilauslistaa. Ilmoita meille myös maksuehdot.

Odotamme vastaustasi ja jatkokeskustelujasi.

-

Ystävällisin terveisin,

Kaikkien kampanjoiden liitteet näyttivät melko samanlaisilta (kuva 7). Sähköpostit sisälsivät liitteenä olevan arkiston tai ISO-tiedoston nimeltä tarjous/kysely (tietysti puolaksi), joissain tapauksissa myös tilausnumeron mukana. Tämä tiedosto sisälsi AceCryptor-suoritettavan tiedoston, joka purki ja käynnisti Rescomsin.

Haittaohjelman käyttäytymisen perusteella oletamme, että näiden kampanjoiden tavoitteena oli saada sähköposti- ja selaimen tunnistetiedot ja siten saada alkupääsy kohdeyrityksiin. Vaikka ei ole tiedossa, kerättiinkö valtakirjat hyökkäyksen suorittaneelle ryhmälle vai myytyivätkö varastetut valtakirjat myöhemmin muille uhkatoimijoille, mutta on varmaa, että onnistunut kompromissi avaa mahdollisuuden uusiin hyökkäyksiin, erityisesti tällä hetkellä suosituilta, ransomware-hyökkäykset.

On tärkeää todeta, että Rescoms RAT voidaan ostaa; joten monet uhkatoimijat käyttävät sitä toiminnassaan. Näitä kampanjoita yhdistävät paitsi kohteen samankaltaisuus, liiterakenne, sähköpostiteksti tai mahdollisten uhrien huijaamiseen käytetyt temput ja tekniikat, vaan myös jotkut vähemmän ilmeiset ominaisuudet. Haittaohjelmasta itsessään pystyimme löytämään esineitä (esim. Rescomsin lisenssitunnus), jotka yhdistävät nämä kampanjat, mikä paljasti, että monet näistä hyökkäyksistä oli yhden uhkatoimijan suorittamia.

Kampanjat Slovakiassa, Bulgariassa ja Serbiassa

Samaan aikaan Puolan kampanjoiden kanssa ESET-telemetria rekisteröi käynnissä olevia kampanjoita myös Slovakiassa, Bulgariassa ja Serbiassa. Nämä kampanjat kohdistuivat myös pääasiassa paikallisiin yrityksiin, ja voimme jopa löytää artefakteja itse haittaohjelmista, jotka sitovat nämä kampanjat samaan uhkatoimijaan, joka toteutti kampanjat Puolassa. Ainoa merkittävä asia, joka muuttui, oli tietysti se, että roskapostisähköpostien kieli sopisi kyseisille maille.

Kampanjat Espanjassa

Aiemmin mainittujen kampanjoiden lisäksi Espanja koki myös roskapostien aallon, jossa Rescoms oli viimeinen hyötykuorma. Vaikka voimme vahvistaa, että ainakin yhden kampanjoista toteutti sama uhkatoimija kuin näissä aikaisemmissa tapauksissa, muut kampanjat noudattivat hieman erilaista kaavaa. Lisäksi jopa aikaisemmissa tapauksissa samat esineet erosivat näissä, ja tästä syystä emme voi päätellä, että Espanjan kampanjat olisivat peräisin samasta paikasta.

Yhteenveto

Vuoden 2023 toisella puoliskolla havaitsimme muutoksen AceCryptorin käytössä. Se on suosittu salausohjelma, jota useat uhkatoimijat käyttävät monien haittaohjelmaperheiden pakkaamiseen. Vaikka joidenkin haittaohjelmaperheiden, kuten RedLine Stealer, levinneisyys laski, muut uhkatekijät alkoivat käyttää sitä tai käyttivät sitä entistä enemmän toiminnassaan ja AceCryptor on edelleen vahva. Näissä kampanjoissa AceCryptoria käytettiin useisiin Euroopan maihin kohdistamiseen ja tiedon poimimiseen. tai saada alustava pääsy useisiin yrityksiin. Haittaohjelmat näissä hyökkäyksissä jaettiin roskapostiviesteissä, jotka olivat joissain tapauksissa varsin vakuuttavia; joskus roskapostia lähetettiin jopa laillisilta, mutta väärinkäytetyiltä sähköpostitileiltä. Koska tällaisten sähköpostien liitteiden avaaminen voi aiheuttaa vakavia seurauksia sinulle tai yrityksellesi, suosittelemme, että olet tietoinen avaamastasi ja käytä luotettavaa päätepisteen suojausohjelmistoa, joka pystyy havaitsemaan haittaohjelman.

Jos sinulla on kysyttävää WeLiveSecurityssä julkaistusta tutkimuksestamme, ota meihin yhteyttä osoitteessa uhkaintel@eset.com.
ESET Research tarjoaa yksityisiä APT-tietoraportteja ja tietosyötteitä. Jos sinulla on kysyttävää tästä palvelusta, käy osoitteessa ESET Threat Intelligence sivu.

IoC: t

Kattava luettelo kompromissiindikaattoreista (IoC) löytyy sivuiltamme GitHub-arkisto.

Asiakirjat

SHA-1	Tiedostonimi	Detection	Kuvaus
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Haitallinen liite roskapostikampanjasta, joka toteutettiin Serbiassa joulukuussa 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa syyskuussa 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa ja Bulgariassa syyskuun 2023 aikana.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Haitallinen liite roskapostikampanjasta, joka toteutettiin Serbiassa syyskuussa 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Haitallinen liite roskapostikampanjasta, joka toteutettiin Bulgariassa syyskuussa 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa elokuussa 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Haitallinen liite roskapostikampanjasta, joka toteutettiin Serbiassa elokuussa 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Haitallinen liite roskapostikampanjasta, joka toteutettiin Bulgariassa elokuussa 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Haitallinen liite roskapostikampanjasta Slovakiassa elokuussa 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Haitallinen liite roskapostikampanjasta, joka toteutettiin Bulgariassa joulukuussa 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa syyskuussa 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa syyskuussa 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa syyskuussa 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Haitallinen liite roskapostikampanjasta, joka toteutettiin Serbiassa syyskuussa 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa joulukuussa 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Haitallinen liite roskapostikampanjasta, joka toteutettiin Puolassa syyskuussa 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Haitallinen liite roskapostikampanjasta, joka toteutettiin Espanjassa elokuussa 2023.

MITER ATT & CK -tekniikat

Tämä pöytä on rakennettu käyttämällä version 14 MITER ATT & CK -kehyksen puitteissa.

Taktiikka	ID	Nimi	Kuvaus
Tiedustelu	T1589.002	Kerää uhrin henkilöllisyystiedot: Sähköpostiosoitteet	Sähköpostiosoitteita ja yhteystietoja (joko ostettuja tai kerättyjä julkisista lähteistä) käytettiin tietojenkalastelukampanjoissa yrityksiin kohdistamiseksi useissa maissa.
Resurssien kehittäminen	T1586.002	Kompromissitilit: Sähköpostitilit	Hyökkääjät käyttivät vaarantuneita sähköpostitilejä lähettääkseen tietojenkalasteluviestejä roskapostikampanjoissa lisätäkseen roskapostin uskottavuutta.
	T1588.001	Hanki ominaisuudet: Haittaohjelmat	Hyökkääjät ostivat ja käyttivät AceCryptoria ja Rescomsia tietojenkalastelukampanjoihin.
Ensimmäinen käyttöoikeus	T1566	Phishing	Hyökkääjät käyttivät haitallisia liitteitä sisältäviä phishing-viestejä tietokoneiden vaarantamiseen ja tietojen varastamiseen useissa Euroopan maissa sijaitsevilta yrityksiltä.
	T1566.001	Phishing: Spearphishing Attachment	Hyökkääjät käyttivät huijausviestejä vaarantaakseen tietokoneita ja varastakseen tietoja yrityksiltä useissa Euroopan maissa.
Teloitus	T1204.002	Käyttäjän suoritus: Haitallinen tiedosto	Hyökkääjät luottivat siihen, että käyttäjät avasivat ja käynnistivät haitallisia tiedostoja AceCryptorin pakkaamilla haittaohjelmilla.
Kirjautumistietojen käyttö	T1555.003	Tunnustiedot salasanakaupoista: Kirjautumistiedot verkkoselaimista	Hyökkääjät yrittivät varastaa tunnistetietoja selaimista ja sähköpostiohjelmista.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/