התגלה פאנל מתקפות סייבר שזכה לכינוי TeslaGun, המשמש את Evil Corp להפעלת קמפיינים בדלת אחורית של ServHelper.
נתונים שנאספו מניתוח של צוות Prodraft Threat Intelligence (PTI) מראים שכנופיית תוכנת הכופר של Evil Corp (הידועה גם בשם TA505 או UNC2165, יחד עם חצי תריסר שמות מעקב צבעוניים נוספים) השתמשה ב-TeslaGun כדי לבצע קמפיינים דיוג המוניים וקמפיינים ממוקדים נגד יותר מ-8,000 ארגונים ויחידים שונים. רוב המטרות היו בארה"ב, שהיווה יותר מ-3,600 מהקורבנות, עם תפוצה בינלאומית מפוזרת מחוצה לה.
הייתה הרחבה מתמשכת של התוכנה הזדונית לדלת האחורית של ServHelper, חבילה ארוכת טווח ומתעדכנת כל הזמן, שמתחדשת לפחות מאז 2019. היא החלה לתפוס שוב קיטור במחצית השנייה של 2021, על פי א. דיווח מסיסקו טאלוס, מדורבן על ידי מנגנונים כמו מתקינים מזויפים ותוכנות זדוניות קשורות למתקינים כמו Raccoon ו-Amadey.
לאחרונה, מודיעין איומים של טרליקס בחודש שעבר דווח כי לאחרונה נמצאה הדלת האחורית של ServHelper כשהיא מפילה קריפטומינרים נסתרים במערכות.
דו"ח PTI, שיצא ביום שלישי, מתעמק בפרטים הטכניים מאחורי TeslaGun, ומציע כמה פרטים וטיפים שיכולים לעזור לארגונים להתקדם עם אמצעי נגד חשובים לכמה ממגמות התקפות הסייבר הרווחות בדלת האחורית כיום.
התקפות בדלת אחורית שעוקפות מנגנוני אימות ומבססות בשקט התמדה במערכות ארגוניות הן מהמדאיגות ביותר עבור מגיני אבטחת סייבר. הסיבה לכך היא שהתקפות אלה קשות לשמצה לזיהוי או למניעה באמצעות בקרות אבטחה סטנדרטיות.
תוקפי דלת אחורית מגוונים את נכסי ההתקפה שלהם
חוקרי PTI אמרו שהם צפו במגוון רחב של פרופילים וקמפיינים שונים של קורבנות במהלך החקירות שלהם, ותומכים במחקרים קודמים שהראו שהתקפות ServHelper סוררות אחר קורבנות במגוון קמפיינים בו-זמנית. זהו דפוס התקפה של סימן מסחרי של הטלת רשת רחבה ללהיטים אופורטוניסטיים.
"מופע יחיד של לוח הבקרה של TeslaGun מכיל מספר רשומות של מסעות פרסום המייצגים שיטות מסירה ונתוני תקיפה שונים", הסביר הדו"ח. "גרסאות חדשות יותר של התוכנה הזדונית מקודדות את מסעות הפרסום השונים האלה כמזהי קמפיינים."
אבל תוקפי סייבר יעשו פרופיל פעיל של קורבנות
יחד עם זאת, TeslaGun מכילה שפע של ראיות לכך שתוקפים עושים פרופיל קורבנות, רושמים הערות רבות בנקודות מסוימות ומבצעים התקפות ממוקדות בדלת אחורית.
"צוות PTI ראה שלוח המחוונים הראשי של פאנל TeslaGun כולל הערות המצורפות לרשומות הקורבנות. רשומות אלה מציגות נתוני מכשיר קורבן כגון CPU, GPU, גודל זיכרון RAM ומהירות חיבור לאינטרנט", נכתב בדו"ח, והסביר כי זה מצביע על מיקוד להזדמנויות קריפטומין. "מצד שני, על פי הערות הקורבן, ברור ש-TA505 מחפש באופן פעיל בנקאות מקוונת או משתמשים קמעונאיים, כולל ארנקי קריפטו וחשבונות מסחר אלקטרוני".
בדו"ח נאמר כי נראה שרוב הקורבנות פועלים במגזר הפיננסי, אך מיקוד זה אינו בלעדי.
מכירה חוזרת היא חלק חשוב ממונטיזציה בדלת אחורית
האופן שבו מוגדרות אפשרויות המשתמש של לוח הבקרה העניק לחוקרים מידע רב על "זרימת העבודה והאסטרטגיה המסחרית" של הקבוצה, נכתב בדו"ח. לדוגמה, כמה אפשרויות סינון סומנו "מכירה" ו"מכירה 2" כאשר לקורבנות בקבוצות אלה פרוטוקולי שולחן עבודה מרוחק (RDP) מושבתים באופן זמני דרך הפאנל.
"זה כנראה אומר ש-TA505 לא יכול להרוויח באופן מיידי מניצול הקורבנות המסוימים האלה", לפי הדו"ח. "במקום לשחרר אותם, הקבוצה תייגה את קשרי ה-RDP של אותם קורבנות למכירה חוזרת לפושעי סייבר אחרים."
דו"ח PTI אמר כי בהתבסס על תצפיות החוקרים, המבנה הפנימי של הקבוצה היה "לא מאורגן באופן מפתיע", אך חבריה עדיין "עוקבים בקפידה אחר קורבנותיהם ויכולים להפגין סבלנות יוצאת דופן, במיוחד עם קורבנות בעלי ערך גבוה במגזר הפיננסי".
הניתוח מציין עוד כי כוחה של הקבוצה הוא הזריזות שלה, מה שמקשה על חיזוי פעילות וזיהוי לאורך זמן.
עם זאת, התוקפים בדלת האחורית אינם מושלמים, וזה יכול להציע כמה רמזים למקצועני אבטחת סייבר המחפשים לסכל את מאמציהם.
"עם זאת, הקבוצה מגלה כמה חולשות מובהקות. בעוד ש-TA505 יכול לשמור על חיבורים נסתרים במכשירים של קורבנות במשך חודשים, החברים בו מרעישים באופן יוצא דופן", נכתב בדו"ח. "לאחר התקנת ServHelper, שחקני איומי TA505 עשויים להתחבר ידנית למכשירי קורבן באמצעות מנהור RDP. טכנולוגיות אבטחה המסוגלות לזהות מנהרות אלו עשויות להיות חיוניות לתפיסה והפחתה של התקפות הדלת האחורית של TA505."
ה-Evil Corp המקושר לרוסיה (ובסנקציות) הייתה אחת הקבוצות הפוריות ביותר בחמש השנים האחרונות. על פי שממשלת ארצות הברית, הקבוצה היא אמון המוח מאחורי הדרידקס הטרויאני הפיננסי ויש לה אסוציאציות לקמפיינים המשתמשים בגרסאות של תוכנות כופר כמו WastedLocker. היא ממשיכה לחדד רפסודה של כלי נשק גם עבור הארסנל שלה; בשבוע שעבר, התברר שזה קשור זיהומים רובין פטל.
PTI משתמש ב-TA505 כדי לעקוב אחר האיום, ו הקונצנזוס מוצק אבל לא אוניברסלי ש-TA505 ו-Evil Corp הם אותה קבוצה. דו"ח בחודש שעבר מאת מרכז תיאום אבטחת סייבר של מגזר הבריאות (HC3) אמר שזה "לא תומך כרגע במסקנה הזו".
