TeslaGun pohjustaa uuden takaoven kyberhyökkäysten aallon

Äskettäin löydetty TeslaGun-niminen kyberhyökkäyspaneeli, jota Evil Corp käyttää ServHelper-takaovikampanjoiden suorittamiseen.

Prodraft Threat Intelligence (PTI) -tiimin analyysistä poimitut tiedot osoittavat, että Evil Corp ransomware -jengi (alias TA505 tai UNC2165 sekä puolen tusinaa muuta värikästä seurantanimeä) on käyttänyt TeslaGunia massatietojenkalastelukampanjoiden ja kohdistettujen kampanjoiden toteuttamiseen muita vastaan. yli 8,000 eri organisaatiota ja henkilöä. Suurin osa kohteista on ollut Yhdysvalloissa, jonka osuus uhreista oli yli 3,600 XNUMX, ja sen ulkopuolella on hajallaan oleva kansainvälinen levinneisyys.

ServHelper-takaovihaittaohjelma, pitkäaikainen ja jatkuvasti päivittyvä paketti, joka on ollut käynnissä ainakin vuodesta 2019 lähtien, on laajentunut jatkuvasti. Se alkoi nousta jälleen vuoden 2021 toisella puoliskolla. Cisco Talosin raportti, jota kannustavat mekanismit, kuten väärennetyt asennusohjelmat ja niihin liittyvät asennusohjelmahaittaohjelmat, kuten Raccoon ja Amadey. 

Äskettäin, uhkatiedustelu Trellixiltä viime kuussa raportoitiin, että ServHelper-takaovi on äskettäin löydetty pudottavan piilotettuja kryptomineraajia järjestelmiin.

PTI:n raporttiTiistaina julkaistussa julkaisussa käsitellään TeslaGunin taustalla olevia teknisiä yksityiskohtia ja tarjotaan joitain yksityiskohtia ja vinkkejä, jotka voivat auttaa yrityksiä edistymään tärkeillä vastatoimilla joitain nykyisin vallitsevia takaoven kyberhyökkäystrendejä.

Takaoven hyökkäykset, jotka kiertävät todennusmekanismeja ja luovat hiljaa pysyvyyttä yritysjärjestelmissä, ovat eräitä hämmentävämmistä kyberturvallisuuden puolustajille. Tämä johtuu siitä, että näitä hyökkäyksiä on tunnetusti vaikea havaita tai estää tavallisilla suojaustoimilla. 

Takaoven hyökkääjät monipuolistavat hyökkäysresurssejaan

PTI-tutkijat sanoivat havainneensa laajaa valikoimaa erilaisia ​​uhriprofiileja ja kampanjoita tutkimustensa aikana, mikä tuki aiempia tutkimuksia, jotka osoittivat, että ServHelper-hyökkäykset etsivät uhreja useissa samanaikaisissa kampanjoissa. Tämä on tavaramerkkihyökkäysmalli, jossa heitetään leveä verkko opportunistisille osumille.

"Yksi TeslaGun-ohjauspaneelin esiintymä sisältää useita kampanjatietueita, jotka edustavat erilaisia ​​toimitustapoja ja hyökkäystietoja", raportissa selitettiin. "Haittaohjelman uudemmat versiot koodaavat nämä erilaiset kampanjat kampanjatunnuksiksi."

Mutta kyberhyökkääjät profiloivat uhreja aktiivisesti

Samaan aikaan TeslaGun sisältää runsaasti todisteita siitä, että hyökkääjät profiloivat uhreja, tekevät joissakin kohdissa runsaasti muistiinpanoja ja tekevät kohdennettuja takaoven hyökkäyksiä.

"PTI-tiimi havaitsi, että TeslaGun-paneelin päämittaristo sisältää uhritietoihin liitettyjä kommentteja. Nämä tietueet osoittavat uhrin laitetietoja, kuten suorittimen, grafiikkasuorittimen, RAM-muistin koon ja Internet-yhteyden nopeuden", raportti kertoo ja selittää tämän viittaavan kryptominointimahdollisuuksiin. "Toisaalta uhrien kommenttien mukaan on selvää, että TA505 etsii aktiivisesti verkkopankki- tai vähittäiskäyttäjiä, mukaan lukien kryptolompakoita ja verkkokauppatilejä."

Raportissa todettiin, että useimmat uhrit näyttävät toimivan rahoitusalalla, mutta tämä kohdistaminen ei ole yksinomainen.

Jälleenmyynti on tärkeä osa takaoven kaupallistamista

Tapa, jolla ohjauspaneelin käyttäjäasetukset on asetettu, tarjosi tutkijoille paljon tietoa ryhmän "työnkulusta ja kaupallisesta strategiasta", raportissa todetaan. Esimerkiksi jotkin suodatusvaihtoehdot nimettiin "Myy" ja "Myy 2" näiden ryhmien uhreilla, joiden etätyöpöytäprotokollat ​​(RDP) on väliaikaisesti poistettu käytöstä paneelin kautta.

"Tämä todennäköisesti tarkoittaa, että TA505 ei voi heti ansaita voittoa näiden tiettyjen uhrien hyväksikäytöstä", raportin mukaan. "Sen sijaan, että olisi päästänyt heidät menemään, ryhmä on merkinnyt uhrien RDP-yhteydet jälleenmyyntiä varten muille kyberrikollisille."

PTI-raportissa todettiin, että tutkijoiden havaintojen perusteella ryhmän sisäinen rakenne oli "yllättävän epäjärjestynyt", mutta sen jäsenet edelleen "seuraavat uhrejaan huolellisesti ja voivat osoittaa huomattavaa kärsivällisyyttä erityisesti finanssisektorin arvokkaiden uhrien kanssa".

Analyysi toteaa lisäksi, että ryhmän vahvuus on sen ketteryys, mikä tekee toiminnan ennustamisesta ja ajan mittaan havaitsemisesta vaikeaa.

Siitä huolimatta takaoven hyökkääjät eivät ole täydellisiä, ja tämä voi tarjota vihjeitä kyberturvallisuuden ammattilaisille, jotka haluavat estää ponnistelunsa.

"Ryhmillä on kuitenkin joitain paljastavia heikkouksia. Vaikka TA505 voi ylläpitää piilotettuja yhteyksiä uhrien laitteissa kuukausia, sen jäsenet ovat usein epätavallisen meluisia", raportti sanoi. "ServHelperin asennuksen jälkeen TA505-uhkatekijät voivat muodostaa manuaalisesti yhteyden uhrilaitteisiin RDP-tunneloinnin kautta. Turvatekniikat, jotka pystyvät havaitsemaan nämä tunnelit, voivat osoittautua elintärkeiksi TA505:n takaoven hyökkäysten sieppaamisessa ja lieventämisessä.

Venäjään sidottu (ja sanktioitu) Evil Corp on ollut yksi tuotteliaimmista ryhmistä viimeisen viiden vuoden aikana. Mukaan Yhdysvaltain hallitus, ryhmä on taloudellisen Troijan Dridexin takana oleva aivosäätiö, ja sillä on yhteyksiä kampanjoihin, joissa käytetään kiristysohjelmien muunnelmia, kuten WastedLocker. Se jatkaa myös aseiden hiomista arsenaaliaan varten; viime viikolla tuli ilmi, että se liittyy Vadelma Robin -infektiot.

PTI käyttää TA505:tä uhan jäljittämiseen ja yksimielisyys on vakaa mutta ei yleistä, että TA505 ja Evil Corp ovat sama ryhmä. Raportti viime kuussa Terveysalan kyberturvallisuuden koordinointikeskus (HC3) sanoi, että se "ei tällä hetkellä tue tätä päätelmää".