Er is een nieuw ontdekt cyberaanvalpaneel genaamd TeslaGun ontdekt, dat door Evil Corp wordt gebruikt om achterdeurcampagnes van ServHelper uit te voeren.
Gegevens verkregen uit een analyse door het Prodraft Threat Intelligence (PTI)-team tonen aan dat de Evil Corp ransomware-bende (ook bekend als TA505 of UNC2165, samen met een half dozijn andere kleurrijke volgnamen) TeslaGun heeft gebruikt om massale phishing-campagnes en gerichte campagnes uit te voeren tegen meer dan 8,000 verschillende organisaties en individuen. De meeste doelwitten bevonden zich in de VS, die verantwoordelijk waren voor meer dan 3,600 van de slachtoffers, met een verspreide internationale distributie daarbuiten.
Er is een voortdurende uitbreiding geweest van de ServHelper-backdoor-malware, een langlopend en constant bijgewerkt pakket dat al sinds minstens 2019 in omloop is. Het begon opnieuw op stoom te komen in de tweede helft van 2021, volgens een rapport van Cisco Talos, aangespoord door mechanismen zoals nep-installatieprogramma's en bijbehorende installatiemalware zoals Raccoon en Amadey.
Meest recent, bedreigingsinformatie van Trellix vorige maand meldde dat de achterdeur van ServHelper onlangs is gevonden om verborgen cryptominers op systemen te laten vallen.
Het PTI-rapport, dinsdag uitgegeven, duikt in de technische details achter TeslaGun en biedt enkele details en tips die bedrijven kunnen helpen vooruit te gaan met belangrijke tegenmaatregelen tegen enkele van de heersende achterdeur-cyberaanvaltrends van vandaag.
Backdoor-aanvallen die authenticatiemechanismen omzeilen en stilletjes persistentie op bedrijfssystemen creëren, zijn enkele van de meest verontrustende voor cyberbeveiligingsverdedigers. Dat komt omdat deze aanvallen notoir moeilijk te detecteren of te voorkomen zijn met standaard beveiligingsmaatregelen.
Backdoor-aanvallers diversifiëren hun aanvalsmiddelen
PTI-onderzoekers zeiden dat ze tijdens hun onderzoeken een breed scala aan verschillende slachtofferprofielen en campagnes hebben waargenomen, ter ondersteuning van eerder onderzoek dat aantoonde dat ServHelper-aanvallen op zoek zijn naar slachtoffers in een verscheidenheid aan gelijktijdige campagnes. Dit is een kenmerkend aanvalspatroon van het uitwerpen van een wijd net voor opportunistische treffers.
"Een enkel exemplaar van het TeslaGun-configuratiescherm bevat meerdere campagnerecords die verschillende leveringsmethoden en aanvalsgegevens vertegenwoordigen", legt het rapport uit. "Nieuwe versies van de malware coderen deze verschillende campagnes als campagne-ID's."
Maar cyberaanvallen zullen slachtoffers actief profileren
Tegelijkertijd bevat TeslaGun voldoende bewijs dat aanvallers slachtoffers profileren, op sommige punten uitgebreide aantekeningen maken en gerichte achterdeuraanvallen uitvoeren.
“Het PTI-team merkte op dat het hoofddashboard van het TeslaGun-paneel opmerkingen bevat die zijn toegevoegd aan slachtofferdossiers. Deze records tonen apparaatgegevens van het slachtoffer, zoals CPU, GPU, RAM-grootte en internetverbindingssnelheid”, aldus het rapport, waarin wordt uitgelegd dat dit wijst op targeting voor cryptomining-mogelijkheden. "Aan de andere kant is het volgens de opmerkingen van slachtoffers duidelijk dat TA505 actief op zoek is naar gebruikers van online bankieren of retail, inclusief crypto-wallets en e-commerce-accounts."
In het rapport staat dat de meeste slachtoffers in de financiële sector lijken te opereren, maar dat deze targeting niet exclusief is.
Wederverkoop is een belangrijk onderdeel van het genereren van inkomsten via de achterdeur
De manier waarop de gebruikersopties van het controlepaneel zijn opgezet, bood onderzoekers veel informatie over de "workflow en commerciële strategie van de groep", aldus het rapport. Sommige filteropties kregen bijvoorbeeld het label 'Verkopen' en 'Verkopen 2', waarbij slachtoffers in deze groepen de remote desktop-protocollen (RDP) tijdelijk via het paneel hadden uitgeschakeld.
"Dit betekent waarschijnlijk dat TA505 niet meteen winst kan maken met het uitbuiten van die specifieke slachtoffers", aldus het rapport. "In plaats van ze te laten gaan, heeft de groep de RDP-verbindingen van die slachtoffers getagd voor doorverkoop aan andere cybercriminelen."
Het PTI-rapport zei dat op basis van de observaties van de onderzoekers de interne structuur van de groep "verrassend ongeorganiseerd" was, maar dat de leden nog steeds "hun slachtoffers nauwlettend in de gaten houden en opmerkelijk geduld kunnen tonen, vooral met waardevolle slachtoffers in de financiële sector."
De analyse merkt verder op dat de kracht van de groep zijn behendigheid is, waardoor het moeilijk is om activiteit te voorspellen en in de loop van de tijd te detecteren.
Desalniettemin zijn de achterdeuraanvallers niet perfect, en dit kan enkele aanwijzingen bieden voor cyberbeveiligingsprofessionals die hun inspanningen willen dwarsbomen.
"De groep vertoont echter enkele veelbetekenende zwakheden. Hoewel de TA505 maandenlang verborgen verbindingen op de apparaten van slachtoffers kan onderhouden, maken zijn leden vaak ongewoon veel lawaai", aldus het rapport. “Na het installeren van ServHelper kunnen TA505-bedreigingsactoren handmatig verbinding maken met apparaten van slachtoffers via RDP-tunneling. Beveiligingstechnologieën die in staat zijn om deze tunnels te detecteren, kunnen van vitaal belang zijn om de achterdeuraanvallen van de TA505 op te vangen en te verminderen.”
Het aan Rusland gelieerde (en gesanctioneerde) Evil Corp is een van de meest productieve groepen van de afgelopen vijf jaar. Volgens de regering van de Verenigde Staten, de groep is de brain trust achter de financiële Trojan Dridex en heeft associaties met campagnes met ransomwarevarianten zoals WastedLocker. Het blijft ook een reeks wapens aanscherpen voor zijn arsenaal; vorige week kwam aan het licht dat het verband houdt met Raspberry Robin-infecties.
PTI gebruikt TA505 om de dreiging te volgen, en consensus is solide maar niet universeel dat TA505 en Evil Corp dezelfde groep zijn. Een verslag vorige maand van de Coördinatiecentrum voor cyberbeveiliging in de gezondheidssector (HC3) zei dat het "die conclusie momenteel niet ondersteunt."
