TeslaGun と呼ばれる新たに発見されたサイバー攻撃パネルが発見され、Evil Corp が ServHelper バックドア キャンペーンを実行するために使用しました。
Prodraft Threat Intelligence (PTI) チームによる分析から収集されたデータは、Evil Corp ランサムウェア ギャング (別名 TA505 または UNC2165、およびその他のカラフルな追跡名が半ダース) が、TeslaGun を使用して大規模なフィッシング キャンペーンを実行し、より多くのターゲットを絞ったキャンペーンを実行したことを示しています。 8,000 を超えるさまざまな組織や個人。 標的の大部分は米国にあり、被害者の 3,600 人以上を占めており、それ以外にも散在する国際的な配布が行われています。
ServHelper バックドア マルウェアは継続的に拡大しており、少なくとも 2019 年から出回っている長期実行型で常に更新されているパッケージです。 Cisco Talos からのレポート、偽のインストーラーや関連するインストーラー マルウェア (Raccoon や Amadey など) などのメカニズムによって拍車がかけられています。
ごく最近、 Trellix の脅威インテリジェンス は先月、ServHelper バックドアがシステム上に隠れたクリプトマイナーをドロップしていることが最近発見されたと報告しました。
PTIレポート火曜日に発行された、TeslaGun の背後にある技術的な詳細を掘り下げ、企業が今日の一般的なバックドア サイバー攻撃の傾向のいくつかに対する重要な対策を進めるのに役立ついくつかの詳細とヒントを提供します。
認証メカニズムを回避し、エンタープライズ システムに密かに永続性を確立するバックドア攻撃は、サイバーセキュリティの防御者にとって最も当惑するものの XNUMX つです。 これは、これらの攻撃を標準のセキュリティ制御で検出または防止することが非常に難しいためです。
バックドア攻撃者による攻撃資産の多様化
PTI の研究者は、調査中にさまざまな被害者のプロファイルとキャンペーンを観察したと述べており、ServHelper 攻撃がさまざまな同時キャンペーンで被害者を探し回っていることを示した以前の調査を裏付けています。 これは、日和見ヒットのために広いネットをキャストするトレードマークの攻撃パターンです。
「TeslaGun コントロール パネルの XNUMX つのインスタンスには、さまざまな配信方法と攻撃データを表す複数のキャンペーン レコードが含まれています」とレポートは説明しています。 「新しいバージョンのマルウェアは、これらのさまざまなキャンペーンをキャンペーン ID としてエンコードします。」
しかし、サイバー攻撃者は被害者を積極的にプロファイリングします
同時に、TeslaGun には、攻撃者が被害者のプロファイルを作成し、いくつかの時点で大量のメモを取り、標的を絞ったバックドア攻撃を行っていることを示す多くの証拠が含まれています。
「PTI チームは、TeslaGun パネルのメイン ダッシュボードに、被害者の記録に添付されたコメントが含まれていることを確認しました。 これらの記録は、CPU、GPU、RAM サイズ、インターネット接続速度などの被害者のデバイス データを示しています」とレポートは述べ、これはクリプトマイニングの機会を狙っていることを示していると説明しています。 「一方、被害者のコメントによると、TA505 が仮想通貨ウォレットや e コマース アカウントを含む、オンライン バンキングやリテール ユーザーを積極的に探していることは明らかです。」
報告書によると、ほとんどの被害者は金融部門で活動しているように見えますが、この標的は排他的ではありません.
再販はバックドア収益化の重要な部分です
コントロール パネルのユーザー オプションの設定方法は、研究者にグループの「ワークフローと商業戦略」に関する多くの情報を提供した、と報告書は述べています。 たとえば、一部のフィルタリング オプションには「Sell」および「Sell 2」というラベルが付けられており、これらのグループの被害者は、パネルからリモート デスクトップ プロトコル (RDP) を一時的に無効にしていました。
レポートによると、「これはおそらく、TA505 が特定の被害者を悪用してすぐに利益を得ることができないことを意味します」。 「このグループは、それらを手放す代わりに、被害者の RDP 接続にタグを付けて、他のサイバー犯罪者に転売したのです。」
PTI の報告書によると、研究者の観察によると、グループの内部構造は「驚くほどまとまりがありませんでした」が、そのメンバーは依然として「被害者を注意深く監視しており、特に金融部門の価値の高い被害者に対しては、驚くべき忍耐力を発揮することができます」とのことです。
この分析ではさらに、このグループの強みはその敏捷性にあり、これにより活動の予測と時間の経過による検出が難しくなっていることが指摘されています。
とはいえ、バックドア攻撃者は完璧ではないため、サイバーセキュリティの専門家が攻撃を阻止しようとする手がかりとなる可能性があります。
「しかし、このグループには明確な弱点がいくつかあります。 TA505 は被害者のデバイスで何ヶ月も隠し接続を維持できますが、そのメンバーはしばしば非常にうるさいです」と報告書は述べています。 「ServHelper をインストールした後、TA505 の攻撃者は、RDP トンネリングを介して被害者のデバイスに手動で接続する可能性があります。 これらのトンネルを検出できるセキュリティ テクノロジは、TA505 のバックドア攻撃を捕捉して軽減するために不可欠であることが証明される可能性があります。」
ロシアとつながりのある (そして認可された) Evil Corp は、過去 XNUMX 年間で最も多作なグループの XNUMX つです。 による 米国政府、このグループは、金融トロイの木馬 Dridex の背後にあるブレイン トラストであり、WastedLocker のようなランサムウェアの亜種を使用するキャンペーンと関連しています。 それは、その兵器庫のために多くの武器を磨き続けています。 先週、それが関連していることが明らかになりました ラズベリーロビン感染症.
PTI は TA505 を使用して脅威を追跡し、 コンセンサスはしっかりしている しかし、TA505 と Evil Corp が同じグループであることは普遍的ではありません。 からの先月のレポート 医療セクター サイバーセキュリティ調整センター (HC3) 「現在、その結論を支持していない」と述べた。
