I fjor publiserte ESET en blogginnlegg om AceCryptor – en av de mest populære og utbredte kryptor-som-en-tjenesten (CaaS) som har vært i drift siden 2016. For H1 2023 vi publiserte statistikk fra vår telemetri, ifølge hvilke trender fra tidligere perioder fortsatte uten drastiske endringer.
I H2 2023 registrerte vi imidlertid en betydelig endring i hvordan AceCryptor brukes. Ikke bare har vi sett og blokkert over dobbelt så mange angrep i H2 2023 sammenlignet med H1 2023, men vi la også merke til at Rescoms (også kjent som Remcos) begynte å bruke AceCryptor, noe som ikke var tilfelle på forhånd.
Det store flertallet av AceCryptor-pakkede Rescoms RAT-prøver ble brukt som en innledende kompromissvektor i flere spamkampanjer rettet mot europeiske land, inkludert Polen, Slovakia, Bulgaria og Serbia.
Hovedpunkter i denne bloggposten:
- AceCryptor fortsatte å tilby pakketjenester til titalls svært kjente skadevarefamilier i H2 2023.
- Selv om AceCryptors utbredelse er godt kjent for sikkerhetsprodukter, viser ikke indikasjoner på nedgang: tvert imot økte antallet angrep betydelig på grunn av Rescoms-kampanjene.
- AceCryptor er et utvalg av trusselaktører rettet mot bestemte land og mål (f.eks. selskaper i et bestemt land).
- I H2 2023 oppdaget ESET flere AceCryptor+Rescoms-kampanjer i europeiske land, hovedsakelig Polen, Bulgaria, Spania og Serbia.
- Trusselaktøren bak disse kampanjene misbrukte i noen tilfeller kompromitterte kontoer for å sende spam-e-poster for å få dem til å se så troverdige ut som mulig.
- Målet med spam-kampanjene var å skaffe legitimasjon lagret i nettlesere eller e-postklienter, som i tilfelle et vellykket kompromiss ville åpne muligheter for ytterligere angrep.
AceCryptor i H2 2023
I første halvdel av 2023 beskyttet ESET rundt 13,000 42,000 brukere mot AceCryptor-pakket skadelig programvare. I andre halvdel av året var det en massiv økning av AceCryptor-pakket skadelig programvare som spredte seg i naturen, med tredobling av oppdagelsene våre, noe som resulterte i over 1 XNUMX beskyttede ESET-brukere over hele verden. Som det kan observeres i figur XNUMX, oppdaget vi flere plutselige bølger av spredning av skadelig programvare. Disse toppene viser flere spamkampanjer rettet mot europeiske land der AceCryptor pakket en Rescoms RAT (diskutert mer i Rescoms kampanjer seksjon).
Videre, når vi sammenligner det rå antallet prøver: i første halvdel av 2023 oppdaget ESET over 23,000 2023 unike ondsinnede prøver av AceCryptor; i andre halvdel av 17,000 så og oppdaget vi «bare» over 60 XNUMX unike prøver. Selv om dette kan være uventet, er det en rimelig forklaring etter en nærmere titt på dataene. Rescoms spam-kampanjer brukte de samme ondsinnede filen(e) i e-postkampanjer som ble sendt til et større antall brukere, og økte dermed antallet personer som møtte skadelig programvare, men holdt fortsatt lavt antall forskjellige filer. Dette skjedde ikke i tidligere perioder da Rescoms nesten aldri ble brukt i kombinasjon med AceCryptor. En annen grunn til reduksjonen i antall unike prøver er fordi noen populære familier tilsynelatende sluttet (eller nesten sluttet) å bruke AceCryptor som deres gå-til CaaS. Et eksempel er Danabot malware som sluttet å bruke AceCryptor; også den fremtredende RedLine Stealer hvis brukere sluttet å bruke AceCryptor så mye, basert på en mer enn XNUMX % reduksjon i AceCryptor-prøver som inneholder den skadelige programvaren.
Som vist i figur 2 distribuerer AceCryptor fortsatt, bortsett fra Rescoms, prøver fra mange forskjellige malware-familier, som SmokeLoader, STOP ransomware og Vidar stealer.
I første halvdel av 2023 var landene som ble mest berørt av skadevare pakket av AceCryptor Peru, Mexico, Egypt og Türkiye, der Peru, med 4,700, hadde det største antallet angrep. Rescoms spam-kampanjer endret denne statistikken dramatisk i andre halvdel av året. Som du kan se i figur 3, påvirket AceCryptor-pakket skadelig programvare hovedsakelig europeiske land. Det desidert mest berørte landet er Polen, hvor ESET forhindret over 26,000 1 angrep; dette blir fulgt av Ukraina, Spania og Serbia. Og det er verdt å nevne at i hvert av disse landene forhindret ESET-produktene flere angrep enn i det mest berørte landet i H2023 XNUMX, Peru.
AceCryptor-prøver som vi har observert i H2 inneholdt ofte to malware-familier som nyttelast: Rescoms og SmokeLoader. En topp i Ukraina ble forårsaket av SmokeLoader. Dette faktum var allerede nevnt av Ukrainas NSDC. På den annen side, i Polen, Slovakia, Bulgaria og Serbia ble den økte aktiviteten forårsaket av AceCryptor som inneholdt Rescoms som en endelig nyttelast.
Rescoms kampanjer
I første halvdel av 2023 så vi i telemetrien vår færre enn hundre tilfeller av AceCryptor-prøver med Rescoms inne. I løpet av andre halvdel av året ble Rescoms den mest utbredte malwarefamilien pakket av AceCryptor, med over 32,000 4 treff. Over halvparten av disse forsøkene skjedde i Polen, etterfulgt av Serbia, Spania, Bulgaria og Slovakia (Figur XNUMX).
Kampanjer i Polen
Takket være ESET-telemetri har vi vært i stand til å observere åtte betydelige spamkampanjer rettet mot Polen i 2. halvår 2023. Som du kan se i figur 5, skjedde de fleste i september, men det var også kampanjer i august og desember.
Totalt registrerte ESET over 26,000 2 av disse angrepene i Polen for denne perioden. Alle spam-kampanjer var rettet mot bedrifter i Polen, og alle e-poster hadde svært like emnelinjer om BXNUMXB-tilbud til offerselskapene. For å se så troverdig ut som mulig, inkorporerte angriperne følgende triks i spam-e-postene:
- E-postadresser de sendte spam-e-poster fra imiterte domener fra andre selskaper. Angripere brukte en annen TLD, endret en bokstav i et firmanavn eller ordrekkefølgen i tilfelle av et firmanavn med flere ord (denne teknikken er kjent som typosquatting).
- Det mest bemerkelsesverdige er at flere kampanjer er involvert bedriftens e-postkompromiss – Angripere misbrukte tidligere kompromitterte e-postkontoer til andre bedriftsansatte for å sende spam-e-poster. På denne måten, selv om det potensielle offeret så etter de vanlige røde flaggene, var de bare ikke der, og e-posten så så legitim ut som den kunne ha vært.
Angripere gjorde sine undersøkelser og brukte eksisterende polske firmanavn og til og med eksisterende ansatte/eiernavn og kontaktinformasjon når de signerte disse e-postene. Dette ble gjort for at i tilfelle et offer prøver å Google avsenderens navn, ville søket lykkes, noe som kan føre til at de åpner det ondsinnede vedlegget.
- Innholdet i spam-e-poster var i noen tilfeller enklere, men i mange tilfeller (som eksempelet i figur 6) ganske forseggjort. Spesielt disse mer forseggjorte versjonene bør betraktes som farlige da de avviker fra standardmønsteret for generisk tekst, som ofte er full av grammatiske feil.
E-posten vist i figur 6 inneholder en melding etterfulgt av informasjon om behandlingen av personopplysninger utført av den påståtte avsenderen og muligheten til å "tilgang til innholdet i dataene dine og retten til å rette, slette, begrense behandlingsrestriksjoner, rett til dataoverføring , rett til å reise innsigelse, og rett til å klage til tilsynsmyndigheten”. Selve meldingen kan oversettes slik:
Dear Sir,
Jeg er Sylwester [redigert] fra [redigert]. Firmaet ditt ble anbefalt av en forretningspartner. Vennligst oppgi vedlagte bestillingsliste. Vennligst informer oss også om betalingsbetingelsene.
Vi ser frem til ditt svar og videre diskusjon.
-
Med vennlig hilsen,
Vedlegg i alle kampanjene så ganske like ut (Figur 7). E-poster inneholdt et vedlagt arkiv eller ISO-fil kalt tilbud/forespørsel (selvfølgelig på polsk), i noen tilfeller også ledsaget av et ordrenummer. Den filen inneholdt en AceCryptor-kjørbar fil som pakket ut og startet Rescoms.
Basert på oppførselen til skadevare, antar vi at målet med disse kampanjene var å skaffe e-post og nettleserlegitimasjon, og dermed få førstegangstilgang til de målrettede selskapene. Selv om det er ukjent om legitimasjonen ble samlet inn for gruppen som utførte disse angrepene eller om de stjålne legitimasjonene senere vil bli solgt til andre trusselaktører, er det sikkert at vellykket kompromiss åpner muligheten for ytterligere angrep, spesielt fra, for tiden populære, løsepenge-angrep.
Det er viktig å opplyse om at Rescoms RAT kan kjøpes; derfor bruker mange trusselaktører det i sine operasjoner. Disse kampanjene er ikke bare forbundet med mållikhet, vedleggsstruktur, e-posttekst eller triks og teknikker som brukes for å lure potensielle ofre, men også av noen mindre åpenbare egenskaper. I selve skadevaren var vi i stand til å finne artefakter (f.eks. lisens-IDen for Rescoms) som knytter disse kampanjene sammen, og avslører at mange av disse angrepene ble utført av én trusselaktør.
Kampanjer i Slovakia, Bulgaria og Serbia
I løpet av de samme tidsperiodene som kampanjene i Polen, registrerte ESET-telemetri også pågående kampanjer i Slovakia, Bulgaria og Serbia. Disse kampanjene var også hovedsakelig rettet mot lokale bedrifter, og vi kan til og med finne artefakter i selve skadevaren som knytter disse kampanjene til den samme trusselaktøren som utførte kampanjene i Polen. Det eneste vesentlige som endret seg var selvfølgelig språket som ble brukt i spam-e-postene for å passe for de spesifikke landene.
Kampanjer i Spania
Bortsett fra tidligere nevnte kampanjer, opplevde Spania også en bølge av spam-e-poster med Rescoms som siste nyttelast. Selv om vi kan bekrefte at minst én av kampanjene ble utført av samme trusselaktør som i disse tidligere sakene, fulgte andre kampanjer et noe annet mønster. Videre, selv gjenstander som var de samme i tidligere tilfeller var forskjellige i disse, og på grunn av det kan vi ikke konkludere med at kampanjene i Spania stammer fra samme sted.
konklusjonen
I løpet av andre halvdel av 2023 oppdaget vi et skifte i bruken av AceCryptor – en populær kryptor som brukes av flere trusselaktører for å pakke mange skadevarefamilier. Selv om forekomsten av enkelte malware-familier som RedLine Stealer falt, begynte andre trusselaktører å bruke den eller brukte den enda mer for sine aktiviteter, og AceCryptor er fortsatt i god utvikling. I disse kampanjene ble AceCryptor brukt til å målrette mot flere europeiske land og for å trekke ut informasjon eller få førstegangstilgang til flere selskaper. Skadelig programvare i disse angrepene ble distribuert i spam-e-poster, som i noen tilfeller var ganske overbevisende; noen ganger ble spam til og med sendt fra legitime, men misbrukte e-postkontoer. Fordi åpning av vedlegg fra slike e-poster kan ha alvorlige konsekvenser for deg eller din bedrift, anbefaler vi at du er klar over hva du åpner og bruker pålitelig endepunktsikkerhetsprogramvare som kan oppdage skadelig programvare.
For eventuelle spørsmål om forskningen vår publisert på WeLiveSecurity, vennligst kontakt oss på threatintel@eset.com.
ESET Research tilbyr private APT-etterretningsrapporter og datafeeder. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.
IoCs
En omfattende liste over kompromissindikatorer (IoCs) finner du i vår GitHub repository.
Filer
SHA-1 |
filnavn |
Gjenkjenning |
Beskrivelse |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
Ondsinnet vedlegg fra spam-kampanje utført i Serbia i desember 2023. |
7DB6780A1E09AEC6146E |
zapytanie.7z |
Win32/Kryptik.HUNX |
Skadelig vedlegg fra spam-kampanje utført i Polen i løpet av september 2023. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Ondsinnet vedlegg fra spamkampanje utført i Polen og Bulgaria i løpet av september 2023. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Ondsinnet vedlegg fra spam-kampanje utført i Serbia i løpet av september 2023. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
Skadelig vedlegg fra spam-kampanje utført i Bulgaria i løpet av september 2023. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
Skadelig vedlegg fra spam-kampanje utført i Polen i august 2023. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Skadelig vedlegg fra spam-kampanje utført i Serbia i august 2023. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Skadelig vedlegg fra spam-kampanje utført i Bulgaria i august 2023. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
Skadelig vedlegg fra spam-kampanje utført i Slovakia i august 2023. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
Skadelig vedlegg fra spam-kampanje utført i Bulgaria i løpet av desember 2023. |
AF021E767E68F6CE1D20 |
zapytanie ofertowe.7z |
Win32/Kryptik.HUQF |
Skadelig vedlegg fra spam-kampanje utført i Polen i løpet av september 2023. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Skadelig vedlegg fra spam-kampanje utført i Polen i løpet av september 2023. |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
Skadelig vedlegg fra spam-kampanje utført i Polen i løpet av september 2023. |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
Ondsinnet vedlegg fra spam-kampanje utført i Serbia i løpet av september 2023. |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
Skadelig vedlegg fra spam-kampanje utført i Polen i løpet av desember 2023. |
FAD97EC6447A699179B0 |
lista zamówień i szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
Skadelig vedlegg fra spam-kampanje utført i Polen i løpet av september 2023. |
FB8F64D2FEC152D2D135 |
Pedido.iso |
Win32/Kryptik.HUMF |
Skadelig vedlegg fra spam-kampanje utført i Spania i august 2023. |
MITRE ATT&CK-teknikker
Dette bordet ble bygget vha versjon 14 av MITRE ATT&CK-rammeverket.
taktikk |
ID |
Navn |
Beskrivelse |
Rekognosering |
Samle informasjon om offerets identitet: e-postadresser |
E-postadresser og kontaktinformasjon (enten kjøpt eller innhentet fra offentlig tilgjengelige kilder) ble brukt i phishing-kampanjer for å målrette mot selskaper i flere land. |
|
Ressursutvikling |
Kompromisskontoer: E-postkontoer |
Angripere brukte kompromitterte e-postkontoer til å sende phishing-e-poster i spam-kampanjer for å øke spam-e-postens troverdighet. |
|
Skaff funksjoner: Skadelig programvare |
Angripere kjøpte og brukte AceCryptor og Rescoms for phishing-kampanjer. |
||
Innledende tilgang |
Phishing |
Angripere brukte phishing-meldinger med ondsinnede vedlegg for å kompromittere datamaskiner og stjele informasjon fra selskaper i flere europeiske land. |
|
Phishing: Spearphishing-vedlegg |
Angripere brukte spearphishing-meldinger for å kompromittere datamaskiner og stjele informasjon fra selskaper i flere europeiske land. |
||
Gjennomføring |
Brukerutførelse: Skadelig fil |
Angripere stolte på at brukere åpnet og lanserte ondsinnede filer med skadelig programvare pakket av AceCryptor. |
|
Legitimasjonstilgang |
Legitimasjon fra passordbutikker: Legitimasjon fra nettlesere |
Angripere prøvde å stjele legitimasjonsinformasjon fra nettlesere og e-postklienter. |
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :er
- :ikke
- :hvor
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- I stand
- Om oss
- misbrukt
- adgang
- ledsaget
- Ifølge
- kontoer
- tvers
- Aktiviteter
- aktivitet
- aktører
- adresser
- råde
- påvirkes
- Etter
- Alle
- påstått
- nesten
- allerede
- også
- am
- an
- og
- Andre
- En annen
- noen
- hverandre
- APT
- Arkiv
- ER
- rundt
- AS
- anta
- At
- Angrep
- forsøk
- August
- tilgjengelig
- gjennomsnittlig
- klar
- B2B
- basert
- BE
- ble
- fordi
- vært
- atferd
- bak
- blokkert
- kjøpt
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- bygget
- Bulgaria
- virksomhet
- bedrifter
- men
- by
- Caas
- Kampanje
- Kampanjer
- CAN
- kan ikke
- evner
- gjennomført
- saken
- saker
- forårsaket
- viss
- kjede
- endring
- endret
- Endringer
- valg
- klienter
- nærmere
- COM
- kombinasjon
- Selskaper
- Selskapet
- sammenligne
- sammenligning
- klage
- omfattende
- kompromiss
- kompromittert
- datamaskiner
- konkluderer
- Bekrefte
- tilkoblet
- Konsekvenser
- ansett
- kontakt
- inneholdt
- inneholder
- innhold
- fortsatte
- motsetning
- kunne
- land
- land
- Kurs
- KREDENSISJON
- Credentials
- Troverdighet
- troverdig
- I dag
- daglig
- Dangerous
- dato
- Desember
- Avslå
- redusere
- oppdage
- oppdaget
- avvike
- gJORDE
- forskjellig
- diskutert
- diskusjon
- distribueres
- domener
- gjort
- dobbelt
- dramatisk
- droppet
- to
- under
- e
- hver enkelt
- Egypt
- åtte
- enten
- Utdype
- emalje
- e-post
- ansatte
- Endpoint
- Endpoint sikkerhet
- spesielt
- europeisk
- Europeiske land
- Selv
- eksempel
- gjennomføring
- eksisterende
- erfaren
- forklaring
- trekke ut
- Faktisk
- familier
- familie
- langt
- færre
- Figur
- filet
- Filer
- slutt~~POS=TRUNC
- Finn
- Først
- flagg
- fulgt
- etter
- Til
- Forward
- funnet
- Rammeverk
- fra
- videre
- Dess
- Gevinst
- samlet
- mål
- skal
- større
- størst
- Gruppe
- HAD
- Halvparten
- hånd
- skje
- skjedde
- Ha
- Hits
- Hvordan
- HTTPS
- hundre
- i
- ID
- Identitet
- if
- bilde
- viktig
- in
- Inkludert
- Incorporated
- Øke
- økt
- økende
- indikasjoner
- indikatorer
- informere
- informasjon
- innledende
- forespørsler
- innsiden
- Intelligens
- inn
- involvert
- ISO
- IT
- selv
- jpeg
- bare
- holde
- kjent
- Språk
- seinere
- lansert
- lansere
- føre
- minst
- legitim
- mindre
- brev
- Tillatelse
- i likhet med
- BEGRENSE
- linjer
- Liste
- lokal
- Se
- så
- Lav
- hovedsakelig
- Flertall
- gjøre
- skadelig
- malware
- mange
- massive
- nevnt
- nevne
- melding
- meldinger
- Mexico
- kunne
- feil
- mer
- mest
- Mest populær
- for det meste
- flytting
- glidende gjennomsnitt
- mye
- flere
- navn
- oppkalt
- navn
- aldri
- bemerkelsesverdig
- Antall
- observere
- få
- Åpenbare
- of
- Tilbud
- ofte
- on
- ONE
- pågående
- bare
- åpen
- åpning
- åpner
- drift
- Drift
- or
- rekkefølge
- opprinnelse
- Annen
- vår
- ut
- enn
- Pakk med deg
- pakket
- side
- Spesielt
- partner
- Passord
- Mønster
- betaling
- Ansatte
- perioden
- perioder
- personlig
- peru
- phishing
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- vær så snill
- poeng
- Polen
- polsk
- Populær
- muligheter
- mulighet
- mulig
- potensiell
- utbredelse
- utbredt
- forhindret
- forrige
- tidligere
- privat
- prosessering
- Produkter
- fremtredende
- egenskaper
- beskyttet
- gi
- offentlig
- publisert
- ganske
- sitere
- heve
- ransomware
- Ransomware-angrep
- ROTTE
- Raw
- grunnen til
- rimelig
- anbefales
- Rød
- Røde flagg
- redacted
- hilsen
- registrert
- pålitelig
- Rapporter
- forskning
- svar
- restriksjoner
- resulterende
- avslørende
- pepret
- rides
- ikke sant
- s
- samme
- så
- Søk
- Sekund
- sikkerhet
- sett
- send
- avsender
- sending
- sendt
- September
- serbia
- tjeneste
- Tjenester
- alvorlig
- skift
- bør
- Vis
- viser
- vist
- signifikant
- betydelig
- signering
- lignende
- enklere
- siden
- siden 2016
- Herr
- So
- Software
- solgt
- noen
- noen ganger
- noe
- Kilder
- Spania
- spam
- spesifikk
- spike
- pigger
- sprer
- Standard
- startet
- Tilstand
- statistikk
- Still
- stjålet
- Stopp
- stoppet
- lagret
- butikker
- sterk
- struktur
- emne
- vellykket
- slik
- plutselig
- egnet
- bølge
- bord
- Target
- målrettet
- rettet mot
- mål
- teknikk
- teknikker
- titus
- vilkår
- tekst
- enn
- Det
- De
- deres
- Dem
- Der.
- Disse
- de
- ting
- denne
- De
- selv om?
- trussel
- trusselaktører
- Dermed
- SLIPS
- tid
- tidslinje
- til
- sammen
- Totalt
- overføre
- Trender
- prøvd
- tredobling
- Türkiye
- to
- Ukraina
- Ukrainer
- Uventet
- unik
- ukjent
- us
- bruk
- bruke
- brukt
- Brukere
- ved hjelp av
- vanlig
- enorme
- versjoner
- veldig
- Offer
- ofre
- Besøk
- var
- bølger
- Vei..
- we
- web
- VI VIL
- velkjent
- var
- Hva
- når
- om
- hvilken
- mens
- HVEM
- hvem sin
- bredde
- Wild
- med
- uten
- ord
- verdensomspennende
- verdt
- ville
- år
- Du
- Din
- zephyrnet