Et nyoppdaget cyberangrepspanel kalt TeslaGun har blitt oppdaget, brukt av Evil Corp til å kjøre ServHelper-bakdørskampanjer.
Data hentet fra en analyse av Prodraft Threat Intelligence (PTI)-teamet viser Evil Corp løsepengevaregjengen (aka TA505 eller UNC2165, sammen med et halvt dusin andre fargerike sporingsnavn) har brukt TeslaGun til å gjennomføre massefiskekampanjer og målrettede kampanjer mot flere enn 8,000 forskjellige organisasjoner og enkeltpersoner. Flertallet av målene har vært i USA, som utgjorde mer enn 3,600 av ofrene, med en spredt internasjonal distribusjon utenfor dette.
Det har vært en fortsatt utvidelse av ServHelper bakdør-malware, en langvarig og konstant oppdatert pakke som har vært på farten siden minst 2019. Den begynte å ta seg opp igjen i andre halvdel av 2021, ifølge en rapport fra Cisco Talos, ansporet av mekanismer som falske installatører og tilhørende skadelig programvare som Raccoon og Amadey.
Nylig, trusseletterretning fra Trellix forrige måned rapporterte at ServHelper-bakdøren nylig har blitt funnet å slippe skjulte kryptominere på systemer.
PTI-rapporten, utgitt tirsdag, fordyper seg i de tekniske spesifikasjonene bak TeslaGun, og tilbyr noen detaljer og tips som kan hjelpe bedrifter å gå videre med viktige mottiltak til noen av de rådende trendene for nettangrep i bakdøren i dag.
Bakdørsangrep som omgår autentiseringsmekanismer og i det stille etablerer utholdenhet på bedriftssystemer er noe av det mest foruroligende for nettsikkerhetsforsvarere. Det er fordi disse angrepene er notorisk vanskelige å oppdage eller forhindre med standard sikkerhetskontroller.
Bakdørsangripere diversifiserer angrepsressursene sine
PTI-forskere sa at de observerte et bredt spekter av forskjellige offerprofiler og kampanjer under etterforskningen, og støttet tidligere forskning som viste at ServHelper-angrep tråler etter ofre i en rekke samtidige kampanjer. Dette er et varemerkeangrepsmønster for å kaste et bredt nett for opportunistiske treff.
"En enkelt forekomst av TeslaGun-kontrollpanelet inneholder flere kampanjeposter som representerer forskjellige leveringsmetoder og angrepsdata," forklarte rapporten. "Nyere versjoner av skadelig programvare koder disse forskjellige kampanjene som kampanje-ID-er."
Men nettangripere vil aktivt profilere ofre
Samtidig inneholder TeslaGun massevis av bevis på at angripere profilerer ofre, tar rikelige notater på enkelte punkter og utfører målrettede bakdørsangrep.
"PTI-teamet observerte at hoveddashbordet til TeslaGun-panelet inkluderer kommentarer knyttet til offerets journaler. Disse postene viser offerenhetsdata som CPU, GPU, RAM-størrelse og internettforbindelseshastighet, heter det i rapporten, som forklarer at dette indikerer målretting for kryptomineringsmuligheter. "På den annen side, ifølge offerets kommentarer, er det klart at TA505 aktivt leter etter nettbank- eller detaljbrukere, inkludert krypto-lommebøker og e-handelskontoer."
Rapporten sa at de fleste ofrene ser ut til å operere i finanssektoren, men at denne målrettingen ikke er eksklusiv.
Videresalg er en viktig del av inntektsgenerering bakdør
Måten kontrollpanelets brukeralternativer er satt opp på ga forskerne mye informasjon om gruppens «arbeidsflyt og kommersielle strategi», heter det i rapporten. For eksempel ble noen filtreringsalternativer merket med "Selg" og "Selg 2" med ofre i disse gruppene som har protokoller for eksternt skrivebord (RDP) midlertidig deaktivert gjennom panelet.
"Dette betyr sannsynligvis at TA505 ikke umiddelbart kan tjene penger på å utnytte de spesielle ofrene," ifølge rapporten. "I stedet for å la dem gå, har gruppen merket disse ofrenes RDP-forbindelser for videresalg til andre nettkriminelle."
PTI-rapporten sa at basert på forskernes observasjoner, var gruppens interne struktur "overraskende uorganisert", men at medlemmene fortsatt "overvåker ofrene sine nøye og kan vise en bemerkelsesverdig tålmodighet, spesielt med ofre av høy verdi i finanssektoren."
Analysen viser videre at styrken til gruppen er dens smidighet, noe som gjør det vanskelig å forutsi aktivitet og oppdage over tid.
Likevel er ikke bakdørangriperne perfekte, og dette kan gi noen ledetråder for cybersikkerhetsproffer som ønsker å hindre innsatsen deres.
"Gruppen viser imidlertid noen tydelige svakheter. Mens TA505 kan opprettholde skjulte forbindelser på ofrenes enheter i flere måneder, er medlemmene ofte uvanlig støyende, heter det i rapporten. "Etter å ha installert ServHelper, kan TA505-trusselsaktører manuelt koble til offerenheter gjennom RDP-tunnelering. Sikkerhetsteknologier som er i stand til å oppdage disse tunnelene kan vise seg å være avgjørende for å fange opp og dempe TA505s bakdørsangrep."
Det russisktilknyttede (og sanksjonerte) Evil Corp har vært en av de mest produktive gruppene de siste fem årene. Ifølge Amerikansk regjering, er gruppen hjernetrusten bak den finansielle trojaneren Dridex og har tilknytning til kampanjer som bruker løsepengevarevarianter som WastedLocker. Den fortsetter å finpusse en rekke våpen for sitt arsenal også; forrige uke kom det frem at det er knyttet til Raspberry Robin-infeksjoner.
PTI bruker TA505 for å spore trusselen, og konsensus er solid men ikke universelt at TA505 og Evil Corp er samme gruppe. En rapport forrige måned fra Health Sector Cybersecurity Coordination Center (HC3) sa at det "for øyeblikket ikke støtter den konklusjonen."
