È stato scoperto un pannello di attacco informatico recentemente scoperto soprannominato TeslaGun, utilizzato da Evil Corp per eseguire campagne backdoor di ServHelper.
I dati raccolti da un'analisi del team Prodraft Threat Intelligence (PTI) mostrano che la banda ransomware Evil Corp (alias TA505 o UNC2165, insieme a una mezza dozzina di altri nomi di tracciamento colorati) ha utilizzato TeslaGun per condurre campagne di phishing di massa e campagne mirate contro più di 8,000 diverse organizzazioni e individui. La maggior parte degli obiettivi sono stati negli Stati Uniti, che hanno rappresentato più di 3,600 vittime, con una distribuzione internazionale sparsa al di fuori di questo.
C'è stata una continua espansione del malware backdoor ServHelper, un pacchetto di lunga durata e costantemente aggiornato che è in circolazione almeno dal 2019. Ha iniziato a prendere piede ancora una volta nella seconda metà del 2021, secondo un rapporto da Cisco Talos, stimolato da meccanismi come programmi di installazione falsi e malware di installazione associato come Raccoon e Amadey.
Più recentemente, intelligence sulle minacce da Trellix il mese scorso ha riferito che la backdoor ServHelper è stata recentemente trovata mentre rilasciava cryptominer nascosti sui sistemi.
Il rapporto PTI, pubblicato martedì, approfondisce le specifiche tecniche alla base di TeslaGun e offre alcuni dettagli e suggerimenti che possono aiutare le aziende ad andare avanti con importanti contromisure ad alcune delle tendenze prevalenti di attacchi informatici backdoor oggi.
Gli attacchi backdoor che eludono i meccanismi di autenticazione e stabiliscono silenziosamente la persistenza sui sistemi aziendali sono tra i più sconcertanti per i difensori della sicurezza informatica. Questo perché questi attacchi sono notoriamente difficili da rilevare o prevenire con i controlli di sicurezza standard.
Gli aggressori backdoor diversificano le proprie risorse di attacco
I ricercatori di PTI hanno affermato di aver osservato una vasta gamma di diversi profili di vittime e campagne durante le loro indagini, a sostegno di ricerche precedenti che mostravano che gli attacchi di ServHelper stavano cercando le vittime in una varietà di campagne simultanee. Questo è uno schema di attacco tipico di lanciare un'ampia rete per colpi opportunistici.
"Una singola istanza del pannello di controllo TeslaGun contiene più record di campagna che rappresentano diversi metodi di consegna e dati di attacco", spiega il rapporto. "Le versioni più recenti del malware codificano queste diverse campagne come ID campagna".
Ma i cyberattaccanti profilano attivamente le vittime
Allo stesso tempo, TeslaGun contiene molte prove che gli aggressori stanno profilando le vittime, prendendo appunti in alcuni punti e conducendo attacchi backdoor mirati.
“Il team PTI ha osservato che la dashboard principale del pannello TeslaGun include commenti allegati ai registri delle vittime. Questi record mostrano i dati del dispositivo della vittima come CPU, GPU, dimensioni della RAM e velocità di connessione a Internet", afferma il rapporto, spiegando che ciò indica il targeting per le opportunità di cryptomining. "D'altra parte, secondo i commenti delle vittime, è chiaro che TA505 sta attivamente cercando utenti di online banking o al dettaglio, inclusi cripto-portafogli e account di e-commerce".
Il rapporto afferma che la maggior parte delle vittime sembra operare nel settore finanziario, ma che questo obiettivo non è esclusivo.
La rivendita è una parte importante della monetizzazione backdoor
Il modo in cui sono impostate le opzioni utente del pannello di controllo ha offerto ai ricercatori molte informazioni sul "flusso di lavoro e sulla strategia commerciale" del gruppo, afferma il rapporto. Ad esempio, alcune opzioni di filtro sono state etichettate come "Vendi" e "Vendi 2" con le vittime in questi gruppi con protocolli desktop remoto (RDP) temporaneamente disabilitati tramite il pannello.
"Questo probabilmente significa che TA505 non può ottenere immediatamente un profitto dallo sfruttamento di quelle particolari vittime", secondo il rapporto. "Invece di lasciarli andare, il gruppo ha contrassegnato le connessioni RDP di quelle vittime per la rivendita ad altri criminali informatici".
Il rapporto PTI afferma che, sulla base delle osservazioni dei ricercatori, la struttura interna del gruppo era "sorprendentemente disorganizzata" ma che i suoi membri "monitorano ancora attentamente le loro vittime e possono dimostrare una notevole pazienza, specialmente con vittime di alto valore nel settore finanziario".
L'analisi rileva inoltre che la forza del gruppo è la sua agilità, che rende difficile prevedere l'attività e rilevarla nel tempo.
Tuttavia, gli aggressori backdoor non sono perfetti e questo può offrire alcuni indizi ai professionisti della sicurezza informatica che cercano di ostacolare i loro sforzi.
“Tuttavia, il gruppo mostra alcune debolezze rivelatrici. Sebbene TA505 possa mantenere connessioni nascoste sui dispositivi delle vittime per mesi, i suoi membri sono spesso insolitamente rumorosi", afferma il rapporto. “Dopo aver installato ServHelper, gli attori delle minacce TA505 possono connettersi manualmente ai dispositivi delle vittime tramite il tunneling RDP. Le tecnologie di sicurezza in grado di rilevare questi tunnel possono rivelarsi vitali per catturare e mitigare gli attacchi backdoor di TA505”.
La Evil Corp, legata alla Russia (e sanzionata), è stata uno dei gruppi più prolifici degli ultimi cinque anni. Secondo il Governo degli Stati Uniti, il gruppo è il brain trust dietro il trojan finanziario Dridex e ha associazioni con campagne che utilizzano varianti di ransomware come WastedLocker. Continua anche ad affinare una serie di armi per il suo arsenale; la scorsa settimana, è venuto alla luce a cui è associato Infezioni da pettirosso lampone.
PTI utilizza TA505 per tracciare la minaccia e il consenso è solido ma non universale che TA505 e Evil Corp siano lo stesso gruppo. Un rapporto del mese scorso dal Centro di coordinamento per la sicurezza informatica nel settore sanitario (HC3) ha detto che "al momento non supporta questa conclusione".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
