Egy újonnan felfedezett, TeslaGun nevű kibertámadási panelt fedeztek fel, amelyet az Evil Corp használt a ServHelper hátsó ajtó kampányainak futtatására.
A Prodraft Threat Intelligence (PTI) csapatának elemzéséből gyűjtött adatok azt mutatják, hogy az Evil Corp ransomware banda (más néven TA505 vagy UNC2165, fél tucat más színes nyomkövető névvel együtt) a TeslaGun segítségével tömeges adathalász kampányokat és célzott kampányokat hajt végre több ellen. mint 8,000 különböző szervezet és magánszemély. A célpontok többsége az Egyesült Államokban volt, ahol az áldozatok közül több mint 3,600 volt, ezen kívül elszórtan terjedt el a nemzetközi terjesztés.
Folyamatosan bővült a ServHelper backdoor rosszindulatú program, amely egy régóta futó és folyamatosan frissített csomag, amely legalább 2019 óta működik. Egy szakértő szerint 2021 második felében kezdett újra felgyorsulni. a Cisco Talos jelentése, amelyet olyan mechanizmusok ösztönöznek, mint a hamis telepítők és a kapcsolódó telepítő rosszindulatú programok, mint a Raccoon és az Amadey.
Legutóbb, fenyegetési hírszerzés a Trellixtől a múlt hónapban arról számoltak be, hogy a ServHelper hátsó ajtót a közelmúltban találták, amely rejtett kriptobányászokat dob a rendszerekre.
A PTI jelentéseA kedden kiadott kiadvány a TeslaGun mögött meghúzódó technikai sajátosságokat kutatja, és néhány olyan részletet és tippet kínál, amelyek segíthetik a vállalkozásokat, hogy fontos ellenintézkedéseket hajtsanak végre a manapság uralkodó hátsóajtós kibertámadási trendek ellen.
A hitelesítési mechanizmusokat megkerülő és a vállalati rendszereken csendben fenntartott hátsó ajtós támadások a legzavaróbbak a kiberbiztonság védelmezői számára. Ennek az az oka, hogy ezeket a támadásokat köztudottan nehéz észlelni vagy megakadályozni a szokásos biztonsági ellenőrzésekkel.
A hátsó ajtós támadók változatossá teszik támadási eszközeiket
A PTI kutatói elmondták, hogy vizsgálataik során különféle áldozatprofilok és kampányok széles skáláját figyelték meg, alátámasztva a korábbi kutatásokat, amelyek azt mutatták, hogy a ServHelper támadások különféle egyidejű kampányok során keresik az áldozatokat. Ez egy védjegyes támadási minta, amely széles hálót vet ki az opportunista találatokra.
„A TeslaGun vezérlőpult egyetlen példánya több kampányrekordot tartalmaz, amelyek különböző szállítási módszereket és támadási adatokat képviselnek” – magyarázta a jelentés. "A rosszindulatú program újabb verziói ezeket a különböző kampányokat kampányazonosítóként kódolják."
De a kibertámadások aktívan profilozzák az áldozatokat
Ugyanakkor a TeslaGun rengeteg bizonyítékot tartalmaz arra vonatkozóan, hogy a támadók profilokat készítenek áldozatokról, bizonyos pontokon bőséges jegyzeteket készítenek, és célzott hátsó ajtós támadásokat hajtanak végre.
„A PTI csapata megfigyelte, hogy a TeslaGun panel fő műszerfala az áldozatok nyilvántartásához csatolt megjegyzéseket tartalmaz. Ezek a rekordok az áldozatok eszközadatait mutatják, például a CPU-t, a GPU-t, a RAM-méretet és az internetkapcsolat sebességét” – áll a jelentésben, amely azt jelzi, hogy a kriptominálási lehetőségeket célozzák meg. "Másrészt az áldozatok megjegyzései szerint egyértelmű, hogy a TA505 aktívan keres online banki vagy lakossági felhasználókat, beleértve a kriptopénztárcákat és az e-kereskedelmi számlákat."
A jelentés szerint a legtöbb áldozat a pénzügyi szektorban tevékenykedik, de ez a célzás nem kizárólagos.
A viszonteladás a Backdoor bevételszerzés fontos része
A vezérlőpult felhasználói opcióinak beállítása sok információt kínált a kutatóknak a csoport „munkafolyamatáról és kereskedelmi stratégiájáról” – áll a jelentésben. Például egyes szűrési beállításokat „Eladás” és „Eladás 2” címkével látták el, és ezekben a csoportokban az áldozatok ideiglenesen letiltották a távoli asztali protokollokat (RDP) a panelen keresztül.
„Ez valószínűleg azt jelenti, hogy a TA505 nem tud azonnal nyereséget keresni az adott áldozatok kizsákmányolásával” – áll a jelentésben. „Ahelyett, hogy elengedték volna őket, a csoport megcímkézte az áldozatok RDP-kapcsolatait, hogy továbbértékesíthessék őket más kiberbűnözőknek.”
A PTI jelentése szerint a kutatók megfigyelései alapján a csoport belső struktúrája „meglepően szervezetlen” volt, de tagjai továbbra is „gondosan figyelemmel kísérik áldozataikat, és figyelemre méltó türelmet tudnak tanúsítani, különösen a pénzügyi szektor nagy értékű áldozataival szemben”.
Az elemzés azt is megjegyzi, hogy a csoport erőssége a mozgékonysága, ami megnehezíti az aktivitás előrejelzését és az idő múlásával történő észlelést.
Mindazonáltal a backdoor támadók nem tökéletesek, és ez némi támpontot adhat a kiberbiztonsági szakemberek számára, akik megpróbálják meghiúsítani erőfeszítéseiket.
„A csoport azonban mutat néhány árulkodó gyengeséget. Míg a TA505 hónapokig képes fenntartani a rejtett kapcsolatokat az áldozatok eszközein, tagjai gyakran szokatlanul zajosak” – áll a jelentésben. „A ServHelper telepítése után a TA505 fenyegetés szereplői manuálisan csatlakozhatnak az áldozat eszközökhöz az RDP tunnelingen keresztül. Az ezen alagutak észlelésére alkalmas biztonsági technológiák létfontosságúak lehetnek a TA505 hátsóajtós támadásainak elkapásához és mérsékléséhez.”
Az orosz kötődésű (és szankcionált) Evil Corp az elmúlt öt év egyik legtermékenyebb csoportja volt. Szerint a Amerikai kormány, a csoport a pénzügyi trójai Dridex mögött álló agytröszt, és olyan ransomware-változatokat használó kampányokhoz kötődik, mint a WastedLocker. Folytatja a fegyverek egy tutajának csiszolását arzenálja számára is; múlt héten derült fény arra, hogy ez összefügg Raspberry Robin fertőzések.
A PTI a TA505-öt használja a fenyegetés nyomon követésére, és a konszenzus szilárd de nem általános, hogy a TA505 és az Evil Corp ugyanaz a csoport. Múlt havi jelentés a Egészségügyi Kiberbiztonsági Koordinációs Központ (HC3) azt mondta, hogy „jelenleg nem támasztja alá ezt a következtetést”.
