Rescoms mengendarai gelombang spam AceCryptor

Tahun lalu ESET menerbitkan a posting blog tentang AceCryptor – salah satu cryptors-as-a-service (CaaS) paling populer dan lazim yang beroperasi sejak 2016. Untuk H1 2023 kami menerbitkan statistik dari telemetri kami, yang menurutnya tren dari periode sebelumnya berlanjut tanpa perubahan drastis.

Namun, pada H2 2023 kami mencatat perubahan signifikan dalam cara AceCryptor digunakan. Kami tidak hanya melihat dan memblokir serangan dua kali lipat pada H2 2023 dibandingkan dengan H1 2023, namun kami juga memperhatikan bahwa Rescoms (juga dikenal sebagai Remcos) mulai menggunakan AceCryptor, yang sebelumnya tidak demikian.

Sebagian besar sampel RAT Rescoms yang dikemas AceCryptor digunakan sebagai vektor kompromi awal dalam beberapa kampanye spam yang menargetkan negara-negara Eropa termasuk Polandia, Slovakia, Bulgaria, dan Serbia.

Poin-poin penting dari blogpost ini:

• AceCryptor terus menyediakan layanan pengemasan ke puluhan keluarga malware yang sangat terkenal pada Semester 2 tahun 2023.
• Meskipun terkenal dengan produk keamanannya, prevalensi AceCryptor tidak menunjukkan indikasi penurunan: sebaliknya, jumlah serangan meningkat secara signifikan karena kampanye Rescoms.
• AceCryptor adalah kriptor pilihan pelaku ancaman yang menargetkan negara dan target tertentu (misalnya, perusahaan di negara tertentu).
• Pada paruh kedua tahun 2, ESET mendeteksi beberapa kampanye AceCryptor+Rescoms di negara-negara Eropa, terutama Polandia, Bulgaria, Spanyol, dan Serbia.
• Aktor ancaman di balik kampanye tersebut dalam beberapa kasus menyalahgunakan akun yang telah disusupi untuk mengirim email spam agar akun tersebut terlihat kredibel mungkin.
• Tujuan dari kampanye spam adalah untuk mendapatkan kredensial yang disimpan di browser atau klien email, yang jika berhasil dikompromikan akan membuka kemungkinan serangan lebih lanjut.

AceCryptor pada Semester 2 2023

Pada paruh pertama tahun 2023 ESET melindungi sekitar 13,000 pengguna dari malware yang mengandung AceCryptor. Pada paruh kedua tahun ini, terjadi peningkatan besar-besaran penyebaran malware AceCryptor di alam liar, dengan deteksi kami meningkat tiga kali lipat, sehingga lebih dari 42,000 pengguna ESET terlindungi di seluruh dunia. Seperti yang dapat diamati pada Gambar 1, kami mendeteksi beberapa gelombang penyebaran malware secara tiba-tiba. Lonjakan ini menunjukkan beberapa kampanye spam yang ditargetkan ke negara-negara Eropa di mana AceCryptor mengemas RAT Rescoms (dibahas lebih lanjut di bagian Merekomendasikan kampanye bagian).

Lebih jauh lagi, jika kita membandingkan jumlah sampel mentah: pada paruh pertama tahun 2023, ESET mendeteksi lebih dari 23,000 sampel unik AceCryptor yang berbahaya; pada paruh kedua tahun 2023, kami “hanya” melihat dan mendeteksi lebih dari 17,000 sampel unik. Meski hal ini mungkin tidak terduga, namun setelah melihat lebih dekat datanya, ada penjelasan yang masuk akal. Kampanye spam Rescoms menggunakan file berbahaya yang sama dalam kampanye email yang dikirim ke lebih banyak pengguna, sehingga meningkatkan jumlah orang yang menemukan malware tersebut, namun tetap menjaga jumlah file yang berbeda tetap rendah. Hal ini tidak terjadi pada periode sebelumnya karena Rescoms hampir tidak pernah digunakan dalam kombinasi dengan AceCryptor. Alasan lain penurunan jumlah sampel unik adalah karena beberapa keluarga populer tampaknya berhenti (atau hampir berhenti) menggunakan AceCryptor sebagai CaaS pilihan mereka. Contohnya adalah malware Danabot yang berhenti menggunakan AceCryptor; juga, Pencuri RedLine terkemuka yang penggunanya berhenti menggunakan AceCryptor, berdasarkan penurunan lebih dari 60% sampel AceCryptor yang berisi malware tersebut.

Seperti terlihat pada Gambar 2, AceCryptor masih mendistribusikan, selain Rescoms, sampel dari banyak keluarga malware yang berbeda, seperti SmokeLoader, STOP ransomware, dan Vidar stealer.

Pada paruh pertama tahun 2023, negara-negara yang paling terkena dampak malware yang dikemas oleh AceCryptor adalah Peru, Meksiko, Mesir, dan Türkiye, di mana Peru, dengan 4,700, memiliki jumlah serangan terbesar. Kampanye spam Rescoms mengubah statistik ini secara dramatis pada paruh kedua tahun ini. Seperti dapat dilihat pada Gambar 3, malware yang berisi AceCryptor menyerang sebagian besar negara-negara Eropa. Sejauh ini negara yang paling terkena dampaknya adalah Polandia, dimana ESET berhasil mencegah lebih dari 26,000 serangan; ini diikuti oleh Ukraina, Spanyol, dan Serbia. Dan perlu disebutkan bahwa di masing-masing negara tersebut, produk ESET mencegah lebih banyak serangan dibandingkan negara yang paling terkena dampak pada semester pertama tahun 1, yaitu Peru.

Sampel AceCryptor yang kami amati di H2 sering kali berisi dua keluarga malware sebagai muatannya: Rescoms dan SmokeLoader. Lonjakan di Ukraina disebabkan oleh SmokeLoader. Fakta ini telah disebutkan oleh NSDC Ukraina. Di sisi lain, di Polandia, Slovakia, Bulgaria, dan Serbia peningkatan aktivitas disebabkan oleh AceCryptor yang berisi Rescoms sebagai muatan akhir.

Merekomendasikan kampanye

Pada paruh pertama tahun 2023, kami melihat dalam telemetri kami kurang dari seratus insiden sampel AceCryptor dengan Rescoms di dalamnya. Selama paruh kedua tahun ini, Rescoms menjadi keluarga malware paling umum yang dikemas oleh AceCryptor, dengan lebih dari 32,000 serangan. Lebih dari separuh upaya ini terjadi di Polandia, diikuti oleh Serbia, Spanyol, Bulgaria, dan Slovakia (Gambar 4).

Kampanye di Polandia

Berkat telemetri ESET, kami dapat mengamati delapan kampanye spam signifikan yang menargetkan Polandia pada Semester 2 tahun 2023. Seperti dapat dilihat pada Gambar 5, sebagian besar terjadi pada bulan September, namun terdapat juga kampanye pada bulan Agustus dan Desember.

Secara total, ESET mencatat lebih dari 26,000 serangan di Polandia pada periode ini. Semua kampanye spam menargetkan bisnis di Polandia dan semua email memiliki baris subjek yang sangat mirip tentang penawaran B2B untuk perusahaan korban. Agar terlihat dapat dipercaya, penyerang memasukkan trik berikut ke dalam email spam:

• Alamat email yang mereka kirimkan email spam dari domain tiruan perusahaan lain. Penyerang menggunakan TLD yang berbeda, mengubah huruf dalam nama perusahaan atau urutan kata jika nama perusahaan terdiri dari beberapa kata (teknik ini dikenal sebagai salah ketik).
• Yang paling penting adalah banyaknya kampanye yang terlibat kompromi email bisnis – penyerang menyalahgunakan akun email karyawan perusahaan lain yang sebelumnya disusupi untuk mengirim email spam. Dengan cara ini, meskipun calon korban mencari tanda bahaya yang biasa, tanda bahaya tersebut tidak ada, dan emailnya tampak sah.

Penyerang melakukan riset dan menggunakan nama perusahaan Polandia yang ada dan bahkan nama karyawan/pemilik serta informasi kontak saat menandatangani email tersebut. Hal ini dilakukan agar jika korban mencoba mencari nama pengirim di Google, pencarian akan berhasil, yang mungkin mengarahkan mereka untuk membuka lampiran berbahaya.

• Isi email spam dalam beberapa kasus lebih sederhana namun dalam banyak kasus (seperti contoh pada Gambar 6) cukup rumit. Khususnya, versi yang lebih rumit ini harus dianggap berbahaya karena menyimpang dari pola standar teks umum, yang seringkali penuh dengan kesalahan tata bahasa.

Email yang ditunjukkan pada Gambar 6 berisi pesan yang diikuti dengan informasi tentang pemrosesan informasi pribadi yang dilakukan oleh tersangka pengirim dan kemungkinan untuk “mengakses konten data Anda dan hak untuk memperbaiki, menghapus, membatasi pembatasan pemrosesan, hak atas transfer data , hak untuk mengajukan keberatan, dan hak untuk mengajukan pengaduan kepada otoritas pengawas”. Pesan itu sendiri dapat diterjemahkan sebagai berikut:

Saudara yg terhormat,

Saya Sylwester [dihapus] dari [dihapus]. Perusahaan Anda direkomendasikan kepada kami oleh mitra bisnis. Silakan kutip daftar pesanan terlampir. Harap informasikan juga kepada kami tentang ketentuan pembayaran.

Kami menantikan tanggapan Anda dan diskusi lebih lanjut.

-

Salam Hormat,

Lampiran di semua kampanye tampak serupa (Gambar 7). Email berisi arsip terlampir atau file ISO bernama penawaran/pertanyaan (tentu saja dalam bahasa Polandia), dalam beberapa kasus juga disertai dengan nomor pesanan. File itu berisi executable AceCryptor yang membongkar dan meluncurkan Rescoms.

Berdasarkan perilaku malware tersebut, kami berasumsi bahwa tujuan kampanye ini adalah untuk mendapatkan kredensial email dan browser, sehingga mendapatkan akses awal ke perusahaan yang ditargetkan. Meskipun tidak diketahui apakah kredensial dikumpulkan untuk kelompok yang melakukan serangan ini atau apakah kredensial yang dicuri tersebut nantinya akan dijual kepada pelaku ancaman lainnya, dapat dipastikan bahwa keberhasilan kompromi akan membuka kemungkinan serangan lebih lanjut, terutama dari serangan yang saat ini populer. serangan ransomware.

Penting untuk disebutkan bahwa Rescoms RAT dapat dibeli; sehingga banyak pelaku ancaman menggunakannya dalam operasi mereka. Kampanye-kampanye ini tidak hanya dihubungkan oleh kesamaan target, struktur lampiran, teks email, atau trik dan teknik yang digunakan untuk menipu calon korban, namun juga oleh beberapa sifat yang kurang jelas. Dalam malware itu sendiri, kami dapat menemukan artefak (misalnya, ID lisensi untuk Rescoms) yang menyatukan kampanye-kampanye tersebut, sehingga mengungkapkan bahwa banyak dari serangan ini dilakukan oleh satu pelaku ancaman.

Kampanye di Slovakia, Bulgaria, dan Serbia

Pada periode waktu yang sama dengan kampanye di Polandia, telemetri ESET juga mencatat kampanye yang sedang berlangsung di Slovakia, Bulgaria, dan Serbia. Kampanye-kampanye ini juga sebagian besar menargetkan perusahaan-perusahaan lokal dan kami bahkan dapat menemukan artefak dalam malware itu sendiri yang mengaitkan kampanye-kampanye ini dengan aktor ancaman yang sama yang melakukan kampanye-kampanye tersebut di Polandia. Satu-satunya hal signifikan yang berubah adalah, tentu saja, bahasa yang digunakan dalam email spam agar sesuai dengan negara tertentu.

Kampanye di Spanyol

Terlepas dari kampanye yang disebutkan sebelumnya, Spanyol juga mengalami lonjakan email spam dengan Rescoms sebagai muatan terakhirnya. Meskipun kami dapat mengonfirmasi bahwa setidaknya satu kampanye dilakukan oleh pelaku ancaman yang sama seperti kasus-kasus sebelumnya, kampanye lainnya mengikuti pola yang agak berbeda. Selain itu, bahkan artefak yang sama pada kasus sebelumnya pun berbeda dalam hal ini dan, oleh karena itu, kami tidak dapat menyimpulkan bahwa kampanye di Spanyol berasal dari tempat yang sama.

Kesimpulan

Selama paruh kedua tahun 2023 kami mendeteksi adanya pergeseran penggunaan AceCryptor – kriptor populer yang digunakan oleh banyak pelaku ancaman untuk mengemas banyak kelompok malware. Meskipun prevalensi beberapa keluarga malware seperti RedLine Stealer menurun, pelaku ancaman lain mulai menggunakannya atau bahkan lebih sering menggunakannya untuk aktivitas mereka dan AceCryptor masih tetap kuat. Dalam kampanye ini AceCryptor digunakan untuk menargetkan beberapa negara Eropa, dan untuk mengekstrak informasi atau mendapatkan akses awal ke beberapa perusahaan. Malware dalam serangan ini didistribusikan melalui email spam, yang dalam beberapa kasus cukup meyakinkan; terkadang spam bahkan dikirim dari akun email yang sah, namun disalahgunakan. Karena membuka lampiran dari email tersebut dapat menimbulkan konsekuensi yang parah bagi Anda atau perusahaan Anda, kami menyarankan agar Anda berhati-hati tentang apa yang Anda buka dan menggunakan perangkat lunak keamanan titik akhir yang andal yang mampu mendeteksi malware.

Untuk pertanyaan apa pun tentang penelitian kami yang dipublikasikan di WeLiveSecurity, silakan hubungi kami di ancamanintel@eset.com.
ESET Research menawarkan laporan intelijen APT pribadi dan umpan data. Untuk setiap pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .

IoC

Daftar lengkap Indikator Kompromi (IoC) dapat ditemukan di kami Repositori GitHub.

File

SHA-1	Filename	Deteksi	Deskripsi Produk
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Lampiran berbahaya dari kampanye spam yang dilakukan di Serbia selama Desember 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama September 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia dan Bulgaria selama September 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Lampiran berbahaya dari kampanye spam yang dilakukan di Serbia selama September 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Lampiran berbahaya dari kampanye spam yang dilakukan di Bulgaria selama September 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama Agustus 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Lampiran berbahaya dari kampanye spam yang dilakukan di Serbia selama Agustus 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Lampiran berbahaya dari kampanye spam yang dilakukan di Bulgaria selama Agustus 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Lampiran berbahaya dari kampanye spam yang dilakukan di Slovakia selama Agustus 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Lampiran berbahaya dari kampanye spam yang dilakukan di Bulgaria selama Desember 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama September 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama September 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama September 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Lampiran berbahaya dari kampanye spam yang dilakukan di Serbia selama September 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama bulan Desember 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	daftar zamówień dan szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Lampiran berbahaya dari kampanye spam yang dilakukan di Polandia selama September 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Lampiran berbahaya dari kampanye spam yang dilakukan di Spanyol selama Agustus 2023.

Teknik ATT&CK MITER

Tabel ini dibuat menggunakan versi 14 dari kerangka MITRE ATT&CK.

Taktik	ID	Nama	Deskripsi Produk
Pengintaian	T1589.002	Kumpulkan Informasi Identitas Korban: Alamat Email	Alamat email dan informasi kontak (baik dibeli atau dikumpulkan dari sumber yang tersedia untuk umum) digunakan dalam kampanye phishing untuk menargetkan perusahaan di berbagai negara.
Pengembangan Sumber Daya	T1586.002	Akun Kompromi: Akun Email	Penyerang menggunakan akun email yang disusupi untuk mengirim email phishing dalam kampanye spam guna meningkatkan kredibilitas email spam.
	T1588.001	Dapatkan Kemampuan: Malware	Penyerang membeli dan menggunakan AceCryptor dan Rescoms untuk kampanye phishing.
Akses Awal	T1566	phishing	Penyerang menggunakan pesan phishing dengan lampiran berbahaya untuk menyusupi komputer dan mencuri informasi dari perusahaan di beberapa negara Eropa.
	T1566.001	Phishing: Lampiran Spearphishing	Penyerang menggunakan pesan spearphishing untuk menyusupi komputer dan mencuri informasi dari perusahaan di beberapa negara Eropa.
Execution	T1204.002	Eksekusi Pengguna: File Berbahaya	Penyerang mengandalkan pengguna untuk membuka dan meluncurkan file berbahaya berisi malware yang dikemas oleh AceCryptor.
Akses Kredensial	T1555.003	Kredensial dari Penyimpanan Kata Sandi: Kredensial dari Peramban Web	Penyerang mencoba mencuri informasi kredensial dari browser dan klien email.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/