Rescoms maakt gebruik van golven van AceCryptor-spam

Vorig jaar publiceerde ESET een blogpost over AceCryptor – een van de meest populaire en meest voorkomende cryptors-as-a-service (CaaS) die actief is sinds 2016. Voor de eerste helft van 1 wij publiceerden statistieken van onze telemetrie, volgens welke trends uit voorgaande perioden zich voortzetten zonder drastische veranderingen.

In de tweede helft van 2 registreerden we echter een aanzienlijke verandering in de manier waarop AceCryptor wordt gebruikt. Niet alleen hebben we in de tweede helft van 2023 ruim het dubbele aantal aanvallen gezien en geblokkeerd in vergelijking met de eerste helft van 2, maar we hebben ook gemerkt dat Rescoms (ook bekend als Remcos) AceCryptor is gaan gebruiken, wat voorheen niet het geval was.

De overgrote meerderheid van de met AceCryptor verpakte Rescoms RAT-monsters werden gebruikt als een eerste compromisvector in meerdere spamcampagnes gericht op Europese landen, waaronder Polen, Slowakije, Bulgarije en Servië.

Kernpunten van deze blogpost:

• AceCryptor bleef in de tweede helft van 2 pakketdiensten leveren aan tientallen zeer bekende malwarefamilies.
• Hoewel bekend bij beveiligingsproducten, vertoont de prevalentie van AceCryptor geen tekenen van afname: integendeel: het aantal aanvallen is aanzienlijk toegenomen dankzij de Rescoms-campagnes.
• AceCryptor is een favoriete cryptor van bedreigingsactoren die zich richten op specifieke landen en doelwitten (bijvoorbeeld bedrijven in een bepaald land).
• In de tweede helft van 2 heeft ESET meerdere AceCryptor+Rescoms-campagnes gedetecteerd in Europese landen, voornamelijk Polen, Bulgarije, Spanje en Servië.
• De bedreigingsacteur achter deze campagnes misbruikte in sommige gevallen gecompromitteerde accounts om spam-e-mails te verzenden om deze er zo geloofwaardig mogelijk uit te laten zien.
• Het doel van de spamcampagnes was om inloggegevens te verkrijgen die zijn opgeslagen in browsers of e-mailclients, wat in het geval van een succesvol compromis mogelijkheden voor verdere aanvallen zou openen.

AceCryptor in de tweede helft van 2

In de eerste helft van 2023 beschermde ESET ongeveer 13,000 gebruikers tegen malware boordevol AceCryptor. In de tweede helft van het jaar was er een enorme toename van de verspreiding van met AceCryptor gevulde malware in het wild, waarbij onze detecties verdrievoudigden, wat resulteerde in meer dan 42,000 beschermde ESET-gebruikers wereldwijd. Zoals te zien is in Figuur 1, hebben we meerdere plotselinge golven van verspreiding van malware gedetecteerd. Deze pieken laten meerdere spamcampagnes zien die gericht zijn op Europese landen waar AceCryptor een Rescoms RAT heeft behaald (meer besproken in de Rescoms-campagnes sectie).

Als we bovendien het ruwe aantal voorbeelden vergelijken: in de eerste helft van 2023 heeft ESET meer dan 23,000 unieke kwaadaardige voorbeelden van AceCryptor gedetecteerd; in de tweede helft van 2023 hebben we ‘slechts’ ruim 17,000 unieke monsters gezien en gedetecteerd. Hoewel dit misschien onverwacht is, is er na nader onderzoek van de gegevens een redelijke verklaring. De Rescoms-spamcampagnes gebruikten dezelfde kwaadaardige bestanden in e-mailcampagnes die naar een groter aantal gebruikers werden verzonden, waardoor het aantal mensen dat de malware tegenkwam toenam, maar het aantal verschillende bestanden nog steeds laag bleef. In voorgaande periodes gebeurde dit niet omdat Rescoms vrijwel nooit in combinatie met AceCryptor werd gebruikt. Een andere reden voor de afname van het aantal unieke samples is dat sommige populaire families blijkbaar zijn gestopt (of bijna gestopt) met het gebruik van AceCryptor als hun favoriete CaaS. Een voorbeeld is de Danabot-malware die AceCryptor niet meer gebruikt; ook de prominente RedLine Stealer waarvan de gebruikers AceCryptor niet meer gebruiken, gebaseerd op een afname van meer dan 60% in AceCryptor-samples die die malware bevatten.

Zoals u kunt zien in Figuur 2, distribueert AceCryptor, afgezien van Rescoms, nog steeds voorbeelden van veel verschillende malwarefamilies, zoals SmokeLoader, STOP ransomware en Vidar stealer.

In de eerste helft van 2023 waren Peru, Mexico, Egypte en Türkiye de landen die het zwaarst getroffen werden door malware verpakt door AceCryptor, waar Peru met 4,700 het grootste aantal aanvallen kende. De spamcampagnes van Rescom veranderden deze statistieken dramatisch in de tweede helft van het jaar. Zoals u kunt zien in Figuur 3, trof de met AceCryptor gevulde malware vooral Europese landen. Veruit het meest getroffen land is Polen, waar ESET meer dan 26,000 aanvallen heeft voorkomen; dit wordt gevolgd door Oekraïne, Spanje en Servië. En het is vermeldenswaard dat ESET-producten in elk van deze landen meer aanvallen hebben voorkomen dan in het meest getroffen land in de eerste helft van 1, Peru.

AceCryptor-voorbeelden die we in de tweede helft van het tweede halfjaar hebben waargenomen, bevatten vaak twee malwarefamilies als lading: Rescoms en SmokeLoader. Een piek in Oekraïne werd veroorzaakt door SmokeLoader. Dit feit werd al genoemd van de Oekraïense NSDC. Aan de andere kant werd de toegenomen activiteit in Polen, Slowakije, Bulgarije en Servië veroorzaakt doordat AceCryptor Rescoms als laatste lading bevatte.

Rescoms-campagnes

In de eerste helft van 2023 zagen we in onze telemetrie minder dan honderd incidenten met AceCryptor-monsters met Rescoms erin. In de tweede helft van het jaar werd Rescoms de meest voorkomende malwarefamilie van AceCryptor, met meer dan 32,000 hits. Meer dan de helft van deze pogingen vond plaats in Polen, gevolgd door Servië, Spanje, Bulgarije en Slowakije (Figuur 4).

Campagnes in Polen

Dankzij ESET-telemetrie hebben we in de tweede helft van 2 acht belangrijke spamcampagnes kunnen waarnemen die gericht waren op Polen. Zoals u kunt zien in Figuur 2023, vond het merendeel daarvan plaats in september, maar er waren ook campagnes in augustus en december.

In totaal registreerde ESET in deze periode ruim 26,000 van deze aanvallen in Polen. Alle spamcampagnes waren gericht op bedrijven in Polen en alle e-mails hadden zeer vergelijkbare onderwerpregels over B2B-aanbiedingen voor de slachtofferbedrijven. Om er zo geloofwaardig mogelijk uit te zien, hebben de aanvallers de volgende trucs in de spam-e-mails verwerkt:

• E-mailadressen ze stuurden spam-e-mails vanaf geïmiteerde domeinen van andere bedrijven. Aanvallers gebruikten een ander TLD, veranderden een letter in een bedrijfsnaam of de woordvolgorde in het geval van een bedrijfsnaam die uit meerdere woorden bestaat (deze techniek staat bekend als typosquatting).
• Het meest opvallende is dat er meerdere campagnes bij betrokken zijn compromis zakelijke e-mail – aanvallers misbruikten eerder gecompromitteerde e-mailaccounts van andere werknemers van het bedrijf om spam-e-mails te verzenden. Op deze manier, zelfs als het potentiële slachtoffer op zoek was naar de gebruikelijke waarschuwingssignalen, waren deze er gewoon niet en zag de e-mail er zo legitiem uit als maar kon.

Aanvallers deden hun onderzoek en gebruikten bestaande Poolse bedrijfsnamen en zelfs bestaande namen van werknemers/eigenaren en contactgegevens bij het ondertekenen van die e-mails. Dit werd gedaan zodat in het geval dat een slachtoffer de naam van de afzender probeert te googlen, de zoekopdracht succesvol zou zijn, wat ertoe zou kunnen leiden dat hij of zij de kwaadaardige bijlage zou openen.

• De inhoud van spam-e-mails was in sommige gevallen eenvoudiger, maar in veel gevallen (zoals het voorbeeld in Figuur 6) behoorlijk uitgebreid. Vooral deze meer uitgebreide versies moeten als gevaarlijk worden beschouwd, omdat ze afwijken van het standaardpatroon van generieke tekst, dat vaak vol zit met grammaticale fouten.

De e-mail weergegeven in Figuur 6 bevat een bericht gevolgd door informatie over de verwerking van persoonlijke informatie door de vermeende afzender en de mogelijkheid om “toegang te krijgen tot de inhoud van uw gegevens en het recht op rectificatie, verwijdering, beperking van verwerkingsbeperkingen, recht op gegevensoverdracht , het recht om bezwaar te maken en het recht om een ​​klacht in te dienen bij de toezichthoudende autoriteit”. Het bericht zelf kan als volgt worden vertaald:

Geachte heer,

Ik ben Sylwester [vertrouwelijke informatie] uit [vertrouwelijke informatie]. Uw bedrijf werd ons aanbevolen door een zakenpartner. Gelieve de bijgevoegde bestellijst te vermelden. Informeer ons ook over de betalingsvoorwaarden.

Wij zien uit naar uw reactie en verdere discussie.

-

Met vriendelijke groet,

Bijlagen in alle campagnes leken behoorlijk op elkaar (Figuur 7). E-mails bevatten een bijgevoegd archief of ISO-bestand met de naam aanbieding/aanvraag (uiteraard in het Pools), in sommige gevallen ook vergezeld van een bestelnummer. Dat bestand bevatte een uitvoerbaar bestand van AceCryptor dat Rescoms uitpakte en lanceerde.

Op basis van het gedrag van de malware gaan we ervan uit dat het doel van deze campagnes was om e-mail- en browsergegevens te verkrijgen en zo initiële toegang te krijgen tot de beoogde bedrijven. Hoewel het niet bekend is of de inloggegevens zijn verzameld voor de groep die deze aanvallen heeft uitgevoerd of dat deze gestolen inloggegevens later aan andere bedreigingsactoren zouden worden verkocht, is het zeker dat succesvolle compromissen de mogelijkheid openen voor verdere aanvallen, vooral van de momenteel populaire, ransomware-aanvallen.

Belangrijk is om te vermelden dat Rescoms RAT te koop is; Daarom gebruiken veel bedreigingsactoren het bij hun operaties. Deze campagnes zijn niet alleen verbonden door de gelijkenis van het doel, de bijlagestructuur, de e-mailtekst of trucs en technieken die worden gebruikt om potentiële slachtoffers te misleiden, maar ook door enkele minder voor de hand liggende eigenschappen. In de malware zelf konden we artefacten vinden (bijvoorbeeld de licentie-ID voor Rescoms) die deze campagnes met elkaar verbinden, waaruit bleek dat veel van deze aanvallen door één dreigingsactor werden uitgevoerd.

Campagnes in Slowakije, Bulgarije en Servië

Gedurende dezelfde perioden als de campagnes in Polen registreerde ESET-telemetrie ook lopende campagnes in Slowakije, Bulgarije en Servië. Deze campagnes waren ook voornamelijk gericht op lokale bedrijven en we kunnen zelfs artefacten in de malware zelf vinden die deze campagnes koppelen aan dezelfde dreigingsactoren die de campagnes in Polen uitvoerden. Het enige belangrijke dat veranderde, was natuurlijk dat de taal die in de spam-e-mails werd gebruikt, geschikt was voor die specifieke landen.

Campagnes in Spanje

Naast de eerder genoemde campagnes kende Spanje ook een golf van spam-e-mails met Rescoms als laatste lading. Hoewel we kunnen bevestigen dat ten minste één van de campagnes werd uitgevoerd door dezelfde dreigingsactoren als in deze eerdere gevallen, volgden andere campagnes een enigszins ander patroon. Bovendien verschilden zelfs artefacten die in eerdere gevallen hetzelfde waren hierin en daarom kunnen we niet concluderen dat de campagnes in Spanje van dezelfde plaats afkomstig waren.

Conclusie

In de tweede helft van 2023 hebben we een verschuiving waargenomen in het gebruik van AceCryptor – een populaire cryptor die door meerdere bedreigingsactoren wordt gebruikt om veel malwarefamilies te verpakken. Hoewel de prevalentie van sommige malwarefamilies, zoals RedLine Stealer, daalde, begonnen andere bedreigingsactoren het te gebruiken of gebruikten het zelfs nog meer voor hun activiteiten, en AceCryptor doet het nog steeds goed. In deze campagnes werd AceCryptor gebruikt om meerdere Europese landen te targeten en informatie te extraheren. of initiële toegang krijgen tot meerdere bedrijven. De malware bij deze aanvallen werd verspreid in spam-e-mails, die in sommige gevallen behoorlijk overtuigend waren; soms werd de spam zelfs verzonden vanaf legitieme, maar misbruikte e-mailaccounts. Omdat het openen van bijlagen van dergelijke e-mails ernstige gevolgen kan hebben voor u of uw bedrijf, raden wij u aan op de hoogte te zijn van wat u opent en betrouwbare eindpuntbeveiligingssoftware te gebruiken die de malware kan detecteren.

Neem voor vragen over ons onderzoek gepubliceerd op WeLiveSecurity contact met ons op via: bedreigingintel@eset.com.
ESET Research biedt privé APT-inlichtingenrapporten en datafeeds. Voor vragen over deze service kunt u terecht op de ESET-bedreigingsinformatie pagina.

IoC's

Een uitgebreide lijst met Indicators of Compromise (IoC's) is te vinden in onze GitHub-repository.

Bestanden

SHA-1	Bestandsnaam	Opsporing	Omschrijving
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Schadelijke bijlage afkomstig van een spamcampagne die in december 2023 in Servië werd uitgevoerd.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in september 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen en Bulgarije in september 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Schadelijke bijlage uit een spamcampagne uitgevoerd in Servië in september 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Schadelijke bijlage uit een spamcampagne uitgevoerd in Bulgarije in september 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in augustus 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Schadelijke bijlage uit een spamcampagne uitgevoerd in Servië in augustus 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Schadelijke bijlage uit een spamcampagne uitgevoerd in Bulgarije in augustus 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Schadelijke bijlage uit een spamcampagne uitgevoerd in Slowakije in augustus 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Schadelijke bijlage uit een spamcampagne uitgevoerd in Bulgarije in december 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in september 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in september 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_andre.7z	Win32/Kryptik.HUOZ	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in september 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Schadelijke bijlage uit een spamcampagne uitgevoerd in Servië in september 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in december 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lijst met zamówień en szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Schadelijke bijlage uit een spamcampagne uitgevoerd in Polen in september 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Schadelijke bijlage uit een spamcampagne uitgevoerd in Spanje in augustus 2023.

MITRE ATT&CK-technieken

Deze tafel is gemaakt met behulp van versie 14 van het MITRE ATT&CK-raamwerk.

Tactiek	ID	Naam	Omschrijving
verkenning	T1589.002	Identiteitsgegevens van slachtoffers verzamelen: e-mailadressen	E-mailadressen en contactgegevens (gekocht of verzameld uit openbaar beschikbare bronnen) werden gebruikt in phishing-campagnes om bedrijven in meerdere landen te targeten.
Ontwikkeling van hulpbronnen	T1586.002	Compromisaccounts: e-mailaccounts	Aanvallers gebruikten gecompromitteerde e-mailaccounts om phishing-e-mails te verzenden in spamcampagnes om de geloofwaardigheid van spam-e-mail te vergroten.
	T1588.001	Mogelijkheden verkrijgen: Malware	Aanvallers kochten en gebruikten AceCryptor en Rescoms voor phishing-campagnes.
Eerste toegang	T1566	Phishing	Aanvallers gebruikten phishing-berichten met kwaadaardige bijlagen om computers binnen te dringen en informatie te stelen van bedrijven in meerdere Europese landen.
	T1566.001	Phishing: Spearphishing-bijlage	Aanvallers gebruikten spearphishing-berichten om computers binnen te dringen en informatie te stelen van bedrijven in meerdere Europese landen.
Uitvoering	T1204.002	Uitvoering door gebruiker: kwaadaardig bestand	Aanvallers vertrouwden erop dat gebruikers kwaadaardige bestanden openden en lanceerden met malware verpakt door AceCryptor.
Toegang tot inloggegevens	T1555.003	Inloggegevens uit wachtwoordopslag: inloggegevens uit webbrowsers	Aanvallers probeerden inloggegevens van browsers en e-mailclients te stelen.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/