Rescoms が AceCryptor スパムの波に乗る

昨年、ESET は AceCryptor に関するブログ投稿 – 2016 年以来運用されている、最も人気があり普及しているサービスとしての暗号化 (CaaS) の 1 つ。2023 年上半期向け 私たちは出版しました 弊社のテレメトリーからの統計によると、以前の期間からの傾向は劇的な変化なく継続していました。

ただし、2 年下半期に、AceCryptor の使用方法に大きな変更が加えられました。 2023 年下半期には 2 年上半期と比較して 2023 倍以上の攻撃を確認しブロックしただけでなく、Rescoms (Remcos としても知られる) が AceCryptor の使用を開始したことにも気づきましたが、これは以前には当てはまらなかったものです。

AceCryptor が詰め込まれた Rescoms RAT サンプルの大部分は、ポーランド、スロバキア、ブルガリア、セルビアなどのヨーロッパ諸国を標的とした複数のスパム キャンペーンの初期侵害ベクトルとして使用されました。

このブログ投稿の要点:

• AceCryptor は、2 年下半期も引き続き数十の非常によく知られたマルウェア ファミリにパッキング サービスを提供しました。
• セキュリティ製品ではよく知られていますが、AceCryptor の普及率は低下の兆しを示しておりません。それどころか、Rescoms キャンペーンの影響で攻撃の数が大幅に増加しました。
• AceCryptor は、特定の国やターゲット (例: 特定の国の企業) をターゲットとする攻撃者が選択した暗号化ツールです。
• 2 年下半期、ESET はヨーロッパ諸国、主にポーランド、ブルガリア、スペイン、セルビアで複数の AceCryptor+Rescoms キャンペーンを検出しました。
• これらのキャンペーンの背後にいる攻撃者は、可能な限り信頼できるものに見せるために、侵害されたアカウントを悪用してスパムメールを送信する場合もありました。
• スパム キャンペーンの目的は、ブラウザまたは電子メール クライアントに保存されている認証情報を取得することであり、侵害に成功するとさらなる攻撃の可能性が生じます。

AceCryptor 2 年下半期

2023 年上半期、ESET は約 13,000 人のユーザーを AceCryptor に満ちたマルウェアから保護しました。今年の下半期には、AceCryptor をパックしたマルウェアが大量に増加し、世界中で検出数が 42,000 倍になり、その結果、世界中で 1 人を超える ESET ユーザーが保護されました。図 XNUMX からわかるように、マルウェアの突然の拡散を複数回検出しました。これらの急増は、AceCryptor が Rescoms RAT をパックしたヨーロッパ諸国を標的とした複数のスパム キャンペーンを示しています (詳しくは、 レスコムキャンペーン セクション）。

さらに、サンプルの生の数を比較すると、2023 年前半に、ESET は AceCryptor の 23,000 を超える一意の悪意のあるサンプルを検出しました。 2023 年後半には、17,000 を超える固有のサンプル「のみ」が確認および検出されました。これは予想外かもしれませんが、データを詳しく調べてみると、合理的な説明が得られます。 Rescoms のスパム キャンペーンでは、より多くのユーザーに送信された電子メール キャンペーンで同じ悪意のあるファイルが使用されていたため、マルウェアに遭遇する人の数は増加しましたが、それでも異なるファイルの数は低く抑えられていました。 Rescoms が AceCryptor と組み合わせて使用​​されることはほとんどなかったため、以前の期間ではこのようなことは起こりませんでした。固有のサンプル数が減少したもう 60 つの理由は、一部の人気のあるファミリーが、頼りになる CaaS として AceCryptor の使用を明らかに停止した (またはほぼ停止した) ことです。例としては、AceCryptor の使用を停止した Danabot マルウェアがあります。また、著名な RedLine Stealer も、そのマルウェアを含む AceCryptor サンプルが XNUMX% 以上減少したことに基づいて、ユーザーが AceCryptor の使用をやめました。

図 2 に見られるように、AceCryptor は、Rescoms とは別に、SmokeLoader、STOP ランサムウェア、Vidar スティーラーなど、多くの異なるマルウェア ファミリのサンプルを依然として配布しています。

2023 年上半期に、AceCryptor によってパックされたマルウェアの被害を最も多く受けた国はペルー、メキシコ、エジプト、トルキエで、攻撃件数が最も多かったのはペルーで 4,700 件でした。 Rescoms のスパム キャンペーンにより、今年下半期にこれらの統計が劇的に変化しました。図 3 に見られるように、AceCryptor をパックしたマルウェアは主にヨーロッパ諸国に影響を与えました。最も影響を受けた国はポーランドで、ESET は 26,000 件を超える攻撃を阻止しました。これにウクライナ、スペイン、セルビアが続く。そして、これらの各国で、1 年上半期に最も被害を受けた国であるペルーよりも多くの攻撃を ESET 製品が阻止したことは注目に値します。

H2 で観察された AceCryptor サンプルには、多くの場合、Rescoms と SmokeLoader という XNUMX つのマルウェア ファミリがペイロードとして含まれていました。ウクライナでのスパイクは SmokeLoader によって引き起こされました。この事実はすでに述べた ウクライナのNSDCによる。一方、ポーランド、スロバキア、ブルガリア、セルビアでは、最終ペイロードとして Rescom を含む AceCryptor によって活動が増加しました。

レスコムキャンペーン

2023 年前半に、テレメトリで確認された、Rescom が内部に含まれる AceCryptor サンプルのインシデントは 32,000 件未満でした。今年の下半期、Rescoms は AceCryptor によってパックされた最も蔓延したマルウェア ファミリとなり、ヒット数は 4 件を超えました。これらの試みの半分以上はポーランドで発生し、続いてセルビア、スペイン、ブルガリア、スロバキアで発生しました (図 XNUMX)。

ポーランドでのキャンペーン

ESET テレメトリのおかげで、2 年下半期にポーランドをターゲットとした 2023 つの重大なスパム キャンペーンを観察することができました。図 5 からわかるように、そのほとんどは XNUMX 月に発生しましたが、XNUMX 月と XNUMX 月にもキャンペーンがありました。

ESET は、この期間にポーランドで合計 26,000 件以上のこれらの攻撃を記録しました。すべてのスパム キャンペーンはポーランドの企業をターゲットにしており、すべての電子メールの件名は被害企業への B2B オファーに関する非常に似たものでした。できる限り信憑性を持たせるために、攻撃者はスパムメールに次のトリックを組み込んでいます。

• 他社の模倣ドメインからスパムメールを送信していたメールアドレス。攻撃者は別の TLD を使用し、会社名の文字を変更したり、複数の単語が含まれる会社名の場合は語順を変更したりしました (この手法はタイポスクワッティングとして知られています)。
• 最も注目すべきは、複数のキャンペーンが参加していることです。 ビジネスメールの侵害 – 攻撃者は、以前に侵害された他の会社従業員の電子メール アカウントを悪用して、スパム電子メールを送信しました。このようにして、潜在的な被害者が通常の危険信号を探したとしても、それらは存在せず、電子メールは可能な限り正当なものであるように見えました。

攻撃者は調査を行い、電子メールに署名する際に既存のポーランドの会社名、さらには既存の従業員/所有者の名前や連絡先情報を使用しました。これは、被害者が送信者の名前を Google で検索しようとした場合に検索が成功し、悪意のある添付ファイルを開いてしまう可能性があるためです。

• スパムメールの内容は、場合によっては単純なものもありましたが、多くの場合 (図 6 の例のように) 非常に複雑でした。特に、これらのより複雑なバージョンは、文法上の間違いが多い一般的なテキストの標準パターンから逸脱しているため、危険であると考えるべきです。

図 6 に示す電子メールには、メッセージの後に、送信者とされる人物によって行われた個人情報の処理に関する情報と、「データの内容にアクセスする可能性、および処理制限を修正、削除、制限する権利、データ転送の権利」が含まれています。 、異議を申し立てる権利、および監督当局に苦情を申し立てる権利」。メッセージ自体は次のように翻訳できます。

拝啓、

私は[編集済み]のシルウェスター[編集済み]です。御社は取引先から推薦されました。添付の注文リストを引用してください。支払い条件についてもお知らせください。

皆様のご回答と更なる議論をお待ちしております。

-

宜しくお願いします、

すべてのキャンペーンの添付ファイルは非常に似ています (図 7)。電子メールには、offer/inquiry (もちろんポーランド語) という名前のアーカイブまたは ISO ファイルが添付されており、場合によっては注文番号も付いています。このファイルには、Rescoms を解凍して起動する AceCryptor 実行可能ファイルが含まれていました。

マルウェアの動作に基づいて、これらのキャンペーンの目的は電子メールとブラウザの認証情報を取得し、標的の企業への最初のアクセスを取得することであったと考えられます。これらの攻撃を実行したグループのために認証情報が収集されたのか、それとも盗まれた認証情報が後で他の脅威アクターに販売されるのかは不明ですが、侵害が成功すると、特に現在流行している攻撃者からのさらなる攻撃の可能性が開かれることは確かです。ランサムウェア攻撃。

Rescoms RAT は購入可能であることを明記することが重要です。したがって、多くの脅威アクターが作戦にこれを使用しています。これらのキャンペーンは、ターゲットの類似性、添付ファイルの構造、電子メールのテキスト、または潜在的な被害者を欺くために使用されるトリックやテクニックだけでなく、いくつかのあまり明白ではない特性によっても関連しています。マルウェア自体の中で、これらのキャンペーンを結び付けるアーティファクト (Rescoms のライセンス ID など) を見つけることができ、これらの攻撃の多くが 1 人の脅威アクターによって実行されたことが明らかになりました。

スロバキア、ブルガリア、セルビアでのキャンペーン

ポーランドでのキャンペーンと同じ期間に、ESET テレメトリーはスロバキア、ブルガリア、セルビアで進行中のキャンペーンも記録しました。これらのキャンペーンも主に地元企業をターゲットにしており、マルウェア自体の中に、これらのキャンペーンをポーランドでキャンペーンを実行したのと同じ攻撃者に結び付けるアーティファクトも見つかりました。もちろん、唯一の重要な変更点は、スパムメールで使用される言語が特定の国に適したものになったことです。

スペインでのキャンペーン

前述のキャンペーンとは別に、スペインでは Rescoms を最終ペイロードとするスパムメールの急増も経験しました。少なくとも 1 つのキャンペーンがこれら以前のケースと同じ攻撃者によって実行されたことは確認できますが、他のキャンペーンは多少異なるパターンに従いました。さらに、以前の事件では同じだった遺物であっても、今回の事件では異なっており、そのため、スペインでの遠征が同じ場所から始まったと結論付けることはできません。

まとめ

2023 年後半、私たちは AceCryptor の使用法に変化があったことを検出しました。AceCryptor は、多くのマルウェア ファミリをパックするために複数の脅威アクターによって使用される人気のある暗号化ツールです。 RedLine Stealer などの一部のマルウェア ファミリの蔓延が低下したにもかかわらず、他の脅威アクターがそれを使用し始めたり、活動にさらに使用したりしており、AceCryptor は依然として強力です。これらのキャンペーンでは、AceCryptor は複数のヨーロッパ諸国をターゲットにし、情報を抽出するために使用されました。または複数の企業への最初のアクセスを取得します。これらの攻撃におけるマルウェアはスパムメールで配布されており、場合によっては非常に説得力のあるものでした。場合によっては、スパムが正規の電子メール アカウントから送信されていることさえありましたが、悪用されました。このような電子メールの添付ファイルを開くと、あなたまたはあなたの会社に重大な影響を与える可能性があるため、何を開いているかを認識し、マルウェアを検出できる信頼できるエンドポイント セキュリティ ソフトウェアを使用することをお勧めします。

WeLiveSecurityで公開されている調査に関するお問い合わせは、次のURLまでお問い合わせください。 Threatintel@eset.com.
ESET Research は、非公開の APT インテリジェンス レポートとデータ フィードを提供します。 本サービスに関するお問い合わせは、 ESET脅威インテリジェンス ページで見やすくするために変数を解析したりすることができます。

IoC

侵害の痕跡 (IoC) の包括的なリストは、次の場所にあります。 GitHubリポジトリ.

SHA-1	ファイル名	検出	説明
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	2023 年 XNUMX 月にセルビアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	ザピタニー.7z	Win32/Kryptik.HUNX	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	2023 年 XNUMX 月にポーランドとブルガリアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	2023 年 XNUMX 月にセルビアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	2023 年 XNUMX 月にブルガリアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	2023 年 XNUMX 月にセルビアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	2023 年 XNUMX 月にブルガリアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	2023 年 XNUMX 月にスロバキアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	2023 年 XNUMX 月にブルガリアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	ザピタニー ofertowe.7z	Win32/Kryptik.HUQF	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	ザモヴィエニエ_ andre.7z	Win32/Kryptik.HUOZ	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	2023 年 XNUMX 月にセルビアで実施されたスパム キャンペーンによる悪意のある添付ファイル。
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	ザモウィニエ_830.iso	Win32/Kryptik.HVOB	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	2023 年 XNUMX 月にポーランドで実施されたスパム キャンペーンによる悪意のある添付ファイル。
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	2023 年 XNUMX 月にスペインで実施されたスパム キャンペーンによる悪意のある添付ファイル。

MITER ATT＆CKテクニック

このテーブルは バージョン14 MITER ATT＆CKフレームワークの

戦術	ID	名前	説明
偵察	T1589.002	被害者の身元情報を収集する: 電子メールアドレス	電子メール アドレスと連絡先情報 (購入または公的に入手可能な情報源から収集したもの) が、複数の国にわたる企業を標的とするフィッシング キャンペーンに使用されました。
リソース開発	T1586.002	侵害アカウント: 電子メール アカウント	攻撃者は、スパムメールの信頼性を高めるために、侵害した電子メール アカウントを使用してスパム キャンペーンでフィッシングメールを送信しました。
	T1588.001	機能の取得：マルウェア	攻撃者は、AceCryptor と Rescoms を購入し、フィッシング キャンペーンに使用しました。
初期アクセス	T1566	フィッシング詐欺	攻撃者は悪意のある添付ファイルを含むフィッシング メッセージを使用してコンピュータに侵入し、ヨーロッパの複数の国の企業から情報を盗みました。
	T1566.001	フィッシング：スピアフィッシングアタッチメント	攻撃者はスピアフィッシング メッセージを使用してコンピュータを侵害し、ヨーロッパの複数の国の企業から情報を盗みました。
実行	T1204.002	ユーザーの実行：悪意のあるファイル	攻撃者は、AceCryptor によってパックされたマルウェアを含む悪意のあるファイルを開いて起動するユーザーに依存していました。
クレデンシャルアクセス	T1555.003	パスワード ストアからの資格情報: Web ブラウザからの資格情報	攻撃者はブラウザや電子メール クライアントから資格情報を盗もうとしました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/