Rescoms는 AceCryptor 스팸의 파도를 타고 있습니다.

작년에 ESET은 다음을 발표했습니다. AceCryptor에 대한 블로그 게시물 – 2016년부터 운영되는 가장 인기 있고 널리 퍼진 CaaS(Cryptors-as-a-Service) 중 하나입니다. 1년 상반기 우리는 출판했다 원격 측정으로 얻은 통계에 따르면 이전 기간의 추세는 급격한 변화 없이 지속되었습니다.

그러나 2년 하반기에는 AceCryptor 사용 방식에 중요한 변경 사항이 등록되었습니다. 우리는 2023년 H2과 비교하여 2023년 H1의 공격을 두 배 이상 보고 차단했을 뿐만 아니라 Rescoms(Remcos라고도 함)가 이전에는 그렇지 않았던 AceCryptor를 사용하기 시작했다는 사실도 알아냈습니다.

AceCryptor로 가득 찬 Rescoms RAT 샘플의 대부분은 폴란드, 슬로바키아, 불가리아 및 세르비아를 포함한 유럽 국가를 대상으로 하는 여러 스팸 캠페인에서 초기 손상 벡터로 사용되었습니다.

이 블로그 포스트의 요점:

• AceCryptor는 2년 하반기에도 잘 알려진 수십 개의 악성 코드군에 대한 패키징 서비스를 계속 제공했습니다.
• 보안 제품으로 잘 알려져 있음에도 불구하고 AceCryptor의 보급률은 줄어들 기미를 보이지 않습니다. 오히려 Rescoms 캠페인으로 인해 공격 횟수가 크게 증가했습니다.
• AceCryptor는 특정 국가 및 대상(예: 특정 국가의 회사)을 표적으로 삼는 위협 행위자가 선택한 암호화 도구입니다.
• 2년 하반기에 ESET은 유럽 국가(주로 폴란드, 불가리아, 스페인, 세르비아)에서 여러 AceCryptor+Rescoms 캠페인을 탐지했습니다.
• 이러한 캠페인의 배후에 있는 위협 행위자는 어떤 경우에는 손상된 계정을 남용하여 가능한 한 신뢰할 수 있게 보이도록 스팸 이메일을 보냈습니다.
• 스팸 캠페인의 목표는 브라우저나 이메일 클라이언트에 저장된 자격 증명을 획득하는 것이었습니다. 이는 성공적인 손상이 발생할 경우 추가 공격의 가능성을 열어줍니다.

2년 하반기의 AceCryptor

2023년 상반기에 ESET은 AceCryptor로 가득 찬 악성 코드로부터 약 13,000명의 사용자를 보호했습니다. 올해 하반기에는 AceCryptor로 가득 찬 맬웨어가 널리 퍼지면서 탐지 수가 42,000배 증가하여 전 세계적으로 1명 이상의 보호받는 ESET 사용자가 생겼습니다. 그림 XNUMX에서 볼 수 있듯이, 우리는 악성 코드가 갑자기 여러 차례 확산되는 것을 감지했습니다. 이러한 급증은 AceCryptor가 Rescoms RAT를 포함하는 유럽 국가를 대상으로 하는 여러 스팸 캠페인을 보여줍니다(자세한 내용은 레스컴 캠페인 섹션).

또한 원시 샘플 수를 비교해 보면 2023년 상반기에 ESET은 23,000개가 넘는 AceCryptor의 고유 악성 샘플을 탐지했습니다. 2023년 하반기에는 17,000개가 넘는 고유 샘플을 '오직' 보고 감지했습니다. 예상치 못한 결과일 수도 있지만 데이터를 자세히 살펴보면 합리적인 설명이 있습니다. Rescoms 스팸 캠페인은 더 많은 수의 사용자에게 전송된 이메일 캠페인에서 동일한 악성 파일을 사용하여 악성 코드를 접한 사람의 수가 증가했지만 여전히 다른 파일 수는 낮게 유지되었습니다. Rescoms는 AceCryptor와 함께 사용된 적이 거의 없었기 때문에 이전 기간에는 이런 일이 발생하지 않았습니다. 고유 샘플 수가 감소한 또 다른 이유는 일부 유명 제품군이 AceCryptor를 CaaS로 사용하는 것을 분명히 중단(또는 거의 중단)했기 때문입니다. 예를 들어 AceCryptor 사용을 중단한 Danabot 악성 코드가 있습니다. 또한 해당 악성 코드가 포함된 AceCryptor 샘플이 60% 이상 감소한 것을 기반으로 사용자가 AceCryptor 사용을 중단한 유명한 RedLine Stealer도 있습니다.

그림 2에서 볼 수 있듯이 AceCryptor는 Rescoms 외에도 SmokeLoader, STOP 랜섬웨어, Vidar 스틸러 등 다양한 악성 코드군의 샘플을 여전히 배포하고 있습니다.

2023년 상반기에 AceCryptor에 의해 패킹된 악성 코드의 영향을 가장 많이 받은 국가는 페루, 멕시코, 이집트, 투르키예였으며, 페루는 4,700건으로 가장 많은 공격을 받았습니다. Rescoms 스팸 캠페인은 올해 하반기에 이러한 통계를 극적으로 변화시켰습니다. 그림 3에서 볼 수 있듯이 AceCryptor로 가득 찬 악성 코드는 대부분 유럽 국가에 영향을 미쳤습니다. 지금까지 가장 큰 영향을 받은 국가는 폴란드로, ESET은 26,000건 이상의 공격을 예방했습니다. 그 뒤를 우크라이나, 스페인, 세르비아가 따르고 있습니다. 그리고 각 국가에서 ESET 제품은 1년 상반기에 가장 큰 피해를 입은 국가인 페루보다 더 많은 공격을 예방했다는 점을 언급할 가치가 있습니다.

H2에서 관찰한 AceCryptor 샘플에는 페이로드로 Rescoms와 SmokeLoader라는 두 가지 악성 코드 계열이 포함되어 있는 경우가 많았습니다. 우크라이나의 급증은 SmokeLoader로 인해 발생했습니다. 이 사실은 이미 언급한 바 있다 우크라이나 NSDC 제공. 반면 폴란드, 슬로바키아, 불가리아, 세르비아에서는 Rescoms를 최종 페이로드로 포함하는 AceCryptor로 인해 활동이 증가했습니다.

레스컴 캠페인

2023년 상반기에 우리는 원격 측정에서 Rescoms가 내부에 포함된 AceCryptor 샘플의 사건이 32,000건 미만인 것을 확인했습니다. 올해 하반기에 Rescoms는 4건이 넘는 적중률을 기록하며 AceCryptor가 포함하는 가장 널리 퍼진 악성 코드군이 되었습니다. 이러한 시도 중 절반 이상이 폴란드에서 발생했고 세르비아, 스페인, 불가리아, 슬로바키아가 그 뒤를 이었습니다(그림 XNUMX).

폴란드 캠페인

ESET 원격 측정 덕분에 우리는 2년 하반기 폴란드를 대상으로 한 2023개의 중요한 스팸 캠페인을 관찰할 수 있었습니다. 그림 5에서 볼 수 있듯이 대부분은 XNUMX월에 발생했지만 XNUMX월과 XNUMX월에도 캠페인이 있었습니다.

전체적으로 ESET은 이 기간 동안 폴란드에서 26,000건 이상의 공격을 등록했습니다. 모든 스팸 캠페인은 폴란드의 기업을 표적으로 삼았으며 모든 이메일의 제목은 피해자 기업에 대한 B2B 제안과 매우 유사했습니다. 최대한 그럴듯하게 보이도록 공격자는 스팸 이메일에 다음과 같은 트릭을 포함시켰습니다.

• 다른 회사의 모방 도메인에서 스팸 이메일을 보내고 있던 이메일 주소입니다. 공격자는 다른 TLD를 사용하고 회사 이름의 문자를 변경하거나 여러 단어로 구성된 회사 이름의 경우 단어 순서를 변경했습니다(이 기술을 타이포스쿼팅이라고 함).
• 가장 주목할만한 점은 여러 캠페인이 참여했다는 것입니다. 비즈니스 이메일 타협 – 공격자는 이전에 훼손된 다른 회사 직원의 이메일 계정을 악용하여 스팸 이메일을 보냈습니다. 이런 식으로 잠재적인 피해자가 일반적인 위험 신호를 찾더라도 해당 신호는 거기에 없었고 이메일은 가능한 한 합법적인 것처럼 보였습니다.

공격자들은 연구를 수행하고 해당 이메일에 서명할 때 기존 폴란드 회사 이름은 물론 기존 직원/소유자 이름과 연락처 정보까지 사용했습니다. 이는 피해자가 보낸 사람의 이름을 Google에 검색하려고 시도하는 경우 검색에 성공하여 악성 첨부 파일을 열 수 있도록 하기 위한 것입니다.

• 스팸 이메일의 내용은 어떤 경우에는 단순했지만 많은 경우(그림 6의 예와 같이) 매우 정교했습니다. 특히 이러한 보다 정교한 버전은 종종 문법적 실수로 가득 찬 일반 텍스트의 표준 패턴에서 벗어나므로 위험한 것으로 간주되어야 합니다.

그림 6에 표시된 이메일에는 메시지와 함께 발신자로 추정되는 사람이 수행한 개인 정보 처리에 대한 정보와 "귀하의 데이터 콘텐츠에 접근할 수 있는 가능성, 수정, 삭제, 처리 제한 제한 권리, 데이터 전송 권리"가 포함되어 있습니다. , 이의를 제기할 권리, 감독 기관에 불만을 제기할 권리”입니다. 메시지 자체는 다음과 같이 번역될 수 있습니다.

선생님,

저는 [편집됨] 출신의 Sylwester [편집됨]입니다. 귀하의 회사는 비즈니스 파트너로부터 추천을 받았습니다. 첨부된 주문목록을 인용해 주세요. 지불 조건에 대해서도 알려주십시오.

귀하의 답변과 추가 논의를 기대합니다.

-

최고 감사합니다,

모든 캠페인의 첨부 파일은 매우 유사해 보였습니다(그림 7). 이메일에는 제안/문의(물론 폴란드어)라는 이름의 첨부된 아카이브 또는 ISO 파일이 포함되어 있으며 경우에 따라 주문 번호도 함께 제공됩니다. 해당 파일에는 Rescoms의 압축을 풀고 실행하는 AceCryptor 실행 파일이 포함되어 있습니다.

악성 코드의 행동을 기반으로 우리는 이러한 캠페인의 목표가 이메일 및 브라우저 자격 증명을 획득하여 대상 회사에 대한 초기 액세스를 얻는 것이라고 가정합니다. 이러한 공격을 수행한 그룹을 위해 자격 증명이 수집되었는지 아니면 도난당한 자격 증명이 나중에 다른 위협 행위자에게 판매될지는 알 수 없지만, 성공적인 손상으로 인해 특히 현재 인기 있는 공격의 가능성이 열리게 되는 것은 확실합니다. 랜섬웨어 공격.

Rescoms RAT를 구매할 수 있다는 점을 명시하는 것이 중요합니다. 따라서 많은 위협 행위자들이 이를 작전에 사용합니다. 이러한 캠페인은 대상 유사성, 첨부 파일 구조, 이메일 텍스트 또는 잠재적 피해자를 속이는 데 사용되는 속임수와 기술뿐만 아니라 덜 분명한 속성으로도 연결됩니다. 악성 코드 자체에서 우리는 이러한 캠페인을 하나로 묶는 아티팩트(예: Rescoms의 라이선스 ID)를 찾을 수 있었고, 이러한 공격 중 다수가 한 명의 위협 행위자에 의해 수행되었다는 사실이 드러났습니다.

슬로바키아, 불가리아, 세르비아에서의 캠페인

폴란드의 캠페인과 동일한 기간 동안 ESET 원격 측정은 슬로바키아, 불가리아 및 세르비아에서도 진행 중인 캠페인을 등록했습니다. 이러한 캠페인은 주로 현지 회사를 표적으로 삼았으며, 폴란드에서 캠페인을 수행한 동일한 위협 행위자와 이러한 캠페인을 연결하는 악성 코드 자체에서도 아티팩트를 찾을 수 있습니다. 물론 변경된 유일한 중요한 점은 스팸 이메일에 사용되는 언어가 특정 국가에 적합하다는 것입니다.

스페인 캠페인

앞서 언급한 캠페인 외에도 스페인에서는 Rescoms를 최종 페이로드로 사용하는 스팸 이메일이 급증했습니다. 이전 사례와 마찬가지로 캠페인 중 적어도 하나가 동일한 위협 행위자에 의해 수행되었음을 확인할 수 있지만 다른 캠페인은 다소 다른 패턴을 따랐습니다. 더욱이 이전 사례에서는 동일했던 유물이라도 이러한 점에서 차이가 있어 스페인 원정이 같은 곳에서 시작되었다고 결론 내릴 수 없습니다.

결론

2023년 하반기에 우리는 AceCryptor의 사용 변화를 감지했습니다. AceCryptor는 여러 위협 행위자가 많은 악성 코드군을 압축하는 데 사용하는 인기 있는 암호화 도구입니다. RedLine Stealer와 같은 일부 맬웨어 계열의 확산이 줄어들었음에도 불구하고 다른 위협 행위자들은 이를 사용하기 시작했거나 활동에 훨씬 더 많이 사용했으며 AceCryptor는 여전히 강세를 보이고 있습니다. 이 캠페인에서 AceCryptor는 여러 유럽 국가를 대상으로 하고 정보를 추출하는 데 사용되었습니다. 또는 여러 회사에 대한 초기 액세스 권한을 얻습니다. 이러한 공격의 악성 코드는 스팸 이메일로 배포되었는데, 어떤 경우에는 매우 설득력이 있었습니다. 때때로 스팸은 합법적이지만 남용된 이메일 계정에서 전송되기도 했습니다. 이러한 이메일의 첨부 파일을 열면 귀하 또는 귀하의 회사에 심각한 결과를 초래할 수 있으므로 무엇을 여는지 주의 깊게 살펴보고 맬웨어를 탐지할 수 있는 신뢰할 수 있는 엔드포인트 보안 소프트웨어를 사용하는 것이 좋습니다.

WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.

IoC

IoC(침해 지표)의 전체 목록은 다음에서 확인할 수 있습니다. GitHub 저장소.

파일

SHA-1	파일 이름	Detection System	상품 설명
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	2023년 XNUMX월 세르비아에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	2023년 XNUMX월 폴란드와 불가리아에서 스팸 캠페인을 통한 악성 첨부파일이 실행되었습니다.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	2023년 XNUMX월 세르비아에서 수행된 스팸 캠페인을 통한 악성 첨부파일입니다.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	2023년 XNUMX월 불가리아에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	2023년 XNUMX월 세르비아에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	2023년 XNUMX월 불가리아에서 스팸 캠페인을 통해 발생한 악성 첨부파일입니다.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	2023년 XNUMX월 슬로바키아에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	2023년 XNUMX월 불가리아에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_andre.7z	Win32/Kryptik.HUOZ	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	2023년 XNUMX월 세르비아에서 수행된 스팸 캠페인을 통한 악성 첨부파일입니다.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	2023년 XNUMX월 폴란드에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	2023년 XNUMX월 스페인에서 진행된 스팸 캠페인을 통한 악성 첨부파일입니다.

MITRE ATT&CK 기술

이 테이블은 다음을 사용하여 제작되었습니다. 버전 14 MITRE ATT&CK 프레임워크.

술책	ID	성함	상품 설명
정찰	T1589.002	피해자 신원 정보 수집: 이메일 주소	이메일 주소와 연락처 정보(공개적으로 사용 가능한 소스에서 구입 또는 수집)가 여러 국가의 회사를 표적으로 삼는 피싱 캠페인에 사용되었습니다.
자원 개발	T1586.002	해킹 계정: 이메일 계정	공격자는 스팸 이메일의 신뢰성을 높이기 위해 손상된 이메일 계정을 사용하여 스팸 캠페인에서 피싱 이메일을 보냈습니다.
	T1588.001	기능 획득: 멀웨어	공격자들은 피싱 캠페인을 위해 AceCryptor와 Rescoms를 구입하여 사용했습니다.
초기 액세스	T1566	피싱 (Phishing)	공격자들은 악성 첨부 파일이 포함된 피싱 메시지를 사용하여 컴퓨터를 손상시키고 여러 유럽 국가에 있는 회사의 정보를 훔쳤습니다.
	T1566.001	피싱: 스피어피싱 첨부 파일	공격자들은 스피어피싱 메시지를 사용하여 여러 유럽 국가에 있는 회사의 컴퓨터를 손상시키고 정보를 훔쳤습니다.
실행	T1204.002	사용자 실행: 악성 파일	공격자들은 사용자가 AceCryptor에 포함된 악성 코드가 포함된 악성 파일을 열고 실행하는 데 의존했습니다.
자격 증명 액세스	T1555.003	암호 저장소의 자격 증명: 웹 브라우저의 자격 증명	공격자들은 브라우저와 이메일 클라이언트에서 자격 증명 정보를 훔치려고 했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/