Rescoms רוכב על גלי ספאם של AceCryptor

בשנה שעברה פרסמה ESET א פוסט בבלוג על AceCryptor – אחד מהמוצרים הפופולריים והנפוצים ביותר (CaaS) הפועלים מאז 2016. עבור H1 2023 פרסמנו סטטיסטיקה מהטלמטריה שלנו, לפיה המגמות מתקופות קודמות נמשכו ללא שינויים דרסטיים.

עם זאת, ב-H2 2023 רשמנו שינוי משמעותי באופן השימוש ב-AceCryptor. לא רק שראינו וחסמנו יותר מההתקפות ב-H2 2023 בהשוואה ל-H1 2023, אלא גם שמנו לב ש-Rescoms (הידועה גם בשם Remcos) התחילה להשתמש ב-AceCryptor, מה שלא היה המקרה קודם לכן.

הרוב המכריע של דגימות Rescoms RAT עמוסות AceCryptor שימשו כווקטור פשרה ראשוני בקמפיינים מרובים של ספאם המיועדים למדינות אירופה כולל פולין, סלובקיה, בולגריה וסרביה.

נקודות מפתח של פוסט זה בבלוג:

• AceCryptor המשיכה לספק שירותי אריזה לעשרות משפחות תוכנות זדוניות מוכרות מאוד ב-H2 2023.
• למרות שמוכרים היטב על ידי מוצרי אבטחה, השכיחות של AceCryptor אינה מראה אינדיקציות לירידה: להיפך, מספר ההתקפות גדל באופן משמעותי עקב קמפיינים של Rescoms.
• AceCryptor הוא בחירה של גורמי איומים המתמקדים במדינות ויעדים ספציפיים (למשל, חברות במדינה מסוימת).
• במהלך H2 2023, ESET זיהתה מסעות פרסום מרובים של AceCryptor+Rescoms במדינות אירופה, בעיקר פולין, בולגריה, ספרד וסרביה.
• שחקן האיום מאחורי הקמפיינים הללו ניצל במקרים מסוימים חשבונות שנפגעו כדי לשלוח הודעות דואר זבל כדי לגרום להם להיראות אמינים ככל האפשר.
• המטרה של קמפיינים לספאם הייתה להשיג אישורים המאוחסנים בדפדפנים או בלקוחות אימייל, שבמקרה של פשרה מוצלחת יפתחו אפשרויות להתקפות נוספות.

AceCryptor ב-H2 2023

במחצית הראשונה של 2023 ESET הגן על כ-13,000 משתמשים מפני תוכנות זדוניות עמוסות ב-AceCryptor. במחצית השנייה של השנה, חלה עלייה מסיבית של תוכנות זדוניות עמוסות ב-AceCryptor שהתפשטו בטבע, כאשר הזיהויים שלנו שולשו, והביאו ליותר מ-42,000 משתמשי ESET מוגנים ברחבי העולם. כפי שניתן לראות באיור 1, זיהינו גלים פתאומיים מרובים של התפשטות תוכנות זדוניות. עליות אלו מציגות מסעות פרסום ספאם מרובים הממוקדים למדינות אירופה שבהן AceCryptor ארזה RAT של Rescoms (נדון יותר ב- קמפיינים של Rescoms סָעִיף).

יתר על כן, כאשר אנו משווים את המספר הגולמי של דגימות: במחצית הראשונה של 2023, ESET זיהתה למעלה מ-23,000 דגימות זדוניות ייחודיות של AceCryptor; במחצית השנייה של 2023, ראינו וזיהינו "רק" יותר מ-17,000 דגימות ייחודיות. למרות שזה עשוי להיות בלתי צפוי, לאחר מבט מקרוב על הנתונים יש הסבר הגיוני. מסעות הפרסום של הספאם של Rescoms השתמשו באותם קבצים זדוניים בקמפיינים בדוא"ל שנשלחו למספר רב יותר של משתמשים, ובכך הגדילו את מספר האנשים שנתקלו בתוכנה הזדונית, אך עדיין השאירו את מספר הקבצים השונים נמוך. זה לא קרה בתקופות קודמות מכיוון שכמעט ולא נעשה שימוש ב-Rescoms בשילוב עם AceCryptor. סיבה נוספת לירידה במספר הדגימות הייחודיות היא משום שכמה משפחות פופולריות ככל הנראה הפסיקו (או כמעט הפסיקו) להשתמש ב-AceCryptor בתור ה-CaaS שלהם. דוגמה לכך היא תוכנה זדונית של Danabot שהפסיקה להשתמש ב-AceCryptor; כמו כן, RedLine Stealer הבולט שמשתמשיו הפסיקו להשתמש ב-AceCryptor באותה מידה, בהתבסס על ירידה של יותר מ-60% בדגימות AceCryptor המכילות את התוכנה הזדונית הזו.

כפי שניתן לראות באיור 2, AceCryptor עדיין מפיצה, מלבד Rescoms, דוגמאות ממשפחות רבות ושונות של תוכנות זדוניות, כגון SmokeLoader, STOP ransomware ו-Vidar stealer.

במחצית הראשונה של 2023, המדינות המושפעות ביותר מתוכנות זדוניות שנארזו על ידי AceCryptor היו פרו, מקסיקו, מצרים וטורקיה, שם פרו, עם 4,700, היה עם המספר הגדול ביותר של התקפות. מסעות הספאם של Rescoms שינו את הנתונים הסטטיסטיים הללו באופן דרמטי במחצית השנייה של השנה. כפי שניתן לראות באיור 3, תוכנות זדוניות עמוסות AceCryptor השפיעו בעיקר על מדינות אירופה. ללא ספק המדינה המושפעת ביותר היא פולין, שבה ESET מנעה למעלה מ-26,000 התקפות; אחריה אוקראינה, ספרד וסרביה. כמו כן, ראוי להזכיר שבכל אחת מאותן מדינות מוצרי ESET מנעו יותר התקפות מאשר במדינה המושפעת ביותר ב-H1 2023, פרו.

דגימות AceCryptor שצפינו ב-H2 הכילו לעתים קרובות שתי משפחות תוכנות זדוניות כמטען שלהן: Rescoms ו-SmokeLoader. ספייק באוקראינה נגרם על ידי SmokeLoader. עובדה זו כבר הוזכרה על ידי ה-NSDC של אוקראינה. מצד שני, בפולין, סלובקיה, בולגריה וסרביה הפעילות המוגברת נגרמה על ידי AceCryptor המכיל Rescoms כמטען סופי.

קמפיינים של Rescoms

במחצית הראשונה של 2023 ראינו בטלמטריה שלנו פחות ממאה מקרים של דגימות AceCryptor עם Rescoms בפנים. במהלך המחצית השנייה של השנה, Rescoms הפכה למשפחת התוכנות הזדוניות הנפוצות ביותר שארוזה על ידי AceCryptor, עם למעלה מ-32,000 כניסות. יותר ממחצית מהניסיונות הללו התרחשו בפולין, ואחריה סרביה, ספרד, בולגריה וסלובקיה (איור 4).

קמפיינים בפולין

הודות לטלמטריה של ESET הצלחנו לצפות בשמונה מסעות פרסום ספאם משמעותיים המיועדים לפולין ב-H2 2023. כפי שניתן לראות באיור 5, רובם התרחשו בספטמבר, אבל היו גם מסעות פרסום באוגוסט ודצמבר.

בסך הכל, ESET רשמה למעלה מ-26,000 מהתקפות אלו בפולין לתקופה זו. כל מסעות הפרסום הספאם כוונו לעסקים בפולין ולכל המיילים היו שורות נושא דומות מאוד לגבי הצעות B2B לחברות הקורבנות. כדי להיראות כמה שיותר אמין, התוקפים שילבו את הטריקים הבאים בהודעות הספאם:

• כתובות דוא"ל שהם שלחו דואר זבל מדומיינים חיקויים של חברות אחרות. התוקפים השתמשו ב-TLD אחר, שינו אות בשם חברה או את סדר המילים במקרה של שם חברה מרובה מילים (טכניקה זו ידועה כ-typosquatting).
• הראוי ביותר לציון הוא שמעורבים מספר קמפיינים פשרה בדוא"ל עסקי - תוקפים ניצלו לרעה חשבונות אימייל שנפגעו בעבר של עובדי חברה אחרים כדי לשלוח דואר זבל. בדרך זו גם אם הקורבן הפוטנציאלי חיפש את הדגלים האדומים הרגילים, הם פשוט לא היו שם, והמייל נראה לגיטימי ככל שיכול היה להיות.

התוקפים ערכו את המחקר שלהם והשתמשו בשמות חברות פולניות קיימות ואפילו בשמות עובדים/בעלים קיימים ובפרטי יצירת קשר בעת חתימת המיילים הללו. זה נעשה על מנת שבמקרה שבו קורבן ינסה לחפש בגוגל את שם השולח, החיפוש יצליח, מה שעלול להוביל אותם לפתוח את הקובץ המצורף הזדוני.

• התוכן של הודעות דואר זבל היה במקרים מסוימים פשוט יותר, אך במקרים רבים (כמו הדוגמה באיור 6) די משוכלל. במיוחד גרסאות משוכללות יותר אלו צריכות להיחשב מסוכנות מכיוון שהן חורגות מהתבנית הסטנדרטית של טקסט גנרי, שלעתים קרובות רצופה בטעויות דקדוקיות.

המייל המוצג באיור 6 מכיל הודעה ואחריה מידע על עיבוד המידע האישי שנעשה על ידי השולח לכאורה והאפשרות "לגשת לתוכן הנתונים שלך והזכות לתקן, למחוק, להגביל הגבלות עיבוד, הזכות להעברת נתונים , זכות להגיש התנגדות, וזכות להגיש תלונה לרשות הפיקוח". ניתן לתרגם את ההודעה עצמה כך:

אדונים היקרים,

אני סילווסטר [מעובד] מ[עריכה]. החברה שלך הומלצה לנו על ידי שותף עסקי. נא לצטט את רשימת ההזמנות המצורפת. אנא הודע לנו גם על תנאי התשלום.

נשמח לתגובתך ולדיון נוסף.

-

בברכה,

הקבצים המצורפים בכל מסעות הפרסום נראו די דומים (איור 7). מיילים הכילו ארכיון או קובץ ISO מצורף בשם offer/inquiry (כמובן בפולנית), בחלק מהמקרים גם מלווה במספר הזמנה. הקובץ הזה הכיל קובץ הפעלה של AceCryptor שפרק והפעיל את Rescoms.

בהתבסס על התנהגות התוכנה הזדונית, אנו מניחים שמטרת הקמפיינים הללו הייתה להשיג אישורי דוא"ל ודפדפן, וכך לקבל גישה ראשונית לחברות הממוקדות. אמנם לא ידוע אם האישורים נאספו עבור הקבוצה שביצעה את התקפות אלו או אם האישורים הגנובים הללו יימכרו מאוחר יותר לגורמי איומים אחרים, אך בטוח שפשרה מוצלחת פותחת אפשרות להתקפות נוספות, במיוחד מהפופולריות כיום, התקפות של תוכנות כופר.

חשוב לציין שניתן לקנות את Rescoms RAT; לכן גורמי איומים רבים משתמשים בו בפעולותיהם. מסעות הפרסום האלה לא רק מחוברים על ידי דמיון יעד, מבנה קבצים מצורפים, טקסט דוא"ל או טריקים וטכניקות המשמשים להונות קורבנות פוטנציאליים, אלא גם על ידי כמה מאפיינים פחות ברורים. בתוכנה הזדונית עצמה, הצלחנו למצוא חפצים (למשל, מזהה הרישיון של Rescoms) שקושרים את הקמפיינים הללו, וחושפים שרבות מהתקפות אלו בוצעו על ידי שחקן איום אחד.

קמפיינים בסלובקיה, בולגריה וסרביה

במהלך אותן תקופות זמן כמו הקמפיינים בפולין, טלמטריה של ESET רשמה גם קמפיינים מתמשכים בסלובקיה, בולגריה וסרביה. גם קמפיינים אלו כוונו בעיקר לחברות מקומיות, ואנו יכולים אפילו למצוא חפצים בתוכנה הזדונית עצמה הקושרת את הקמפיינים הללו לאותו גורם איומים שביצע את הקמפיינים בפולין. הדבר המשמעותי היחיד שהשתנה היה, כמובן, השפה שבה נעשה שימוש בהודעות הספאם כדי להתאים לאותן מדינות ספציפיות.

קמפיינים בספרד

מלבד מסעות פרסום שהוזכרו קודם לכן, ספרד חוותה גם גל של הודעות דואר זבל עם Rescoms כמטען הסופי. למרות שאנו יכולים לאשר שלפחות אחד מהקמפיינים בוצע על ידי אותו שחקן איום כמו במקרים קודמים אלה, קמפיינים אחרים עקבו אחר דפוס שונה במקצת. יתר על כן, אפילו חפצים שהיו זהים במקרים קודמים היו שונים באלה, ובשל כך, איננו יכולים להסיק שהמסעות בספרד מקורם מאותו מקום.

סיכום

במהלך המחצית השנייה של 2023 זיהינו שינוי בשימוש ב-AceCryptor - קריפטור פופולרי המשמש מספר גורמי איומים כדי לארוז משפחות תוכנות זדוניות רבות. למרות ששכיחותן של כמה משפחות תוכנות זדוניות כמו RedLine Stealer ירדה, גורמי איומים אחרים החלו להשתמש בו או השתמשו בו אפילו יותר לפעילותם, ו-AceCryptor עדיין חזק. בקמפיינים אלה נעשה שימוש ב-AceCryptor כדי למקד למספר מדינות אירופיות ולחילוץ מידע. או לקבל גישה ראשונית למספר חברות. תוכנה זדונית בהתקפות אלו הופצה במיילים דואר זבל, שבמקרים מסוימים היו די משכנעים; לפעמים הספאם נשלח אפילו מחשבונות אימייל לגיטימיים אך מנוצלים לרעה. מכיוון שפתיחת קבצים מצורפים מהודעות דוא"ל כאלה עלולה להיות בעלת השלכות חמורות עבורך או על החברה שלך, אנו ממליצים לך להיות מודעים למה שאתה פותח ולהשתמש בתוכנת אבטחה אמינה של נקודות קצה המסוגלת לזהות את התוכנה הזדונית.

לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.

IoCs

רשימה מקיפה של אינדיקטורים של פשרה (IoCs) ניתן למצוא אצלנו מאגר GitHub.

קבצים

SHA-1	שם הקובץ	איתור	תיאור
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	צירוף זדוני ממסע דואר זבל שבוצע בסרביה במהלך דצמבר 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך ספטמבר 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	צירוף זדוני מקמפיין ספאם שבוצע בפולין ובבולגריה במהלך ספטמבר 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	צירוף זדוני מקמפיין ספאם שבוצע בסרביה במהלך ספטמבר 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	צירוף זדוני מקמפיין ספאם שבוצע בבולגריה במהלך ספטמבר 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך אוגוסט 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	צירוף זדוני מקמפיין ספאם שבוצע בסרביה במהלך אוגוסט 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	צירוף זדוני מקמפיין ספאם שבוצע בבולגריה במהלך אוגוסט 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	צירוף זדוני מקמפיין ספאם שבוצע בסלובקיה במהלך אוגוסט 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	צירוף זדוני מקמפיין ספאם שבוצע בבולגריה במהלך דצמבר 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך ספטמבר 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך ספטמבר 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך ספטמבר 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	צירוף זדוני מקמפיין ספאם שבוצע בסרביה במהלך ספטמבר 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך דצמבר 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	צירוף זדוני מקמפיין ספאם שבוצע בפולין במהלך ספטמבר 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	צירוף זדוני מקמפיין ספאם שבוצע בספרד במהלך אוגוסט 2023.

טכניקות MITER ATT & CK

שולחן זה נבנה באמצעות גרסה 14 של מסגרת MITER ATT & CK.

טקטיקה	ID	שם	תיאור
סִיוּר	T1589.002	אסוף מידע על זהות הקורבן: כתובות דואר אלקטרוני	כתובות דוא"ל ומידע ליצירת קשר (שנקנו או נאספו ממקורות זמינים לציבור) שימשו בקמפיינים דיוגים כדי למקד לחברות במדינות רבות.
פיתוח משאבים	T1586.002	חשבונות פשרה: חשבונות דואר אלקטרוני	תוקפים השתמשו בחשבונות אימייל שנפגעו כדי לשלוח דוא"ל דיוג בקמפיינים ספאם כדי להגביר את האמינות של דואר זבל.
	T1588.001	השגת יכולות: תוכנה זדונית	תוקפים קנו והשתמשו ב-AceCryptor ו-Rescoms עבור מסעות פרסום דיוג.
גישה ראשונית	T1566	דיוג	תוקפים השתמשו בהודעות פישינג עם קבצים מצורפים זדוניים כדי לסכן מחשבים ולגנוב מידע מחברות במספר מדינות באירופה.
	T1566.001	פישינג: קובץ מצורף של Spearphishing	התוקפים השתמשו בהודעות דיוג כדי לסכן מחשבים ולגנוב מידע מחברות במספר מדינות באירופה.
הוצאה לפועל	T1204.002	ביצוע משתמש: קובץ זדוני	התוקפים הסתמכו על משתמשים שפותחים ומשגרים קבצים זדוניים עם תוכנות זדוניות שארוזות על ידי AceCryptor.
גישה לאישור	T1555.003	אישורים מחנויות סיסמאות: אישורים מדפדפני אינטרנט	תוקפים ניסו לגנוב מידע אישור מדפדפנים ומלקוחות אימייל.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/