Rescoms zbiera fale spamu AceCryptor

W zeszłym roku firma ESET opublikowała wpis na blogu o AceCryptorze – jeden z najpopularniejszych i najbardziej rozpowszechnionych kryptowalut typu cryptor-as-a-service (CaaS) działający od 2016 roku. Dla I półrocza 1 roku opublikowaliśmy statystyki z naszej telemetrii, według których trendy z poprzednich okresów były kontynuowane bez drastycznych zmian.

Jednakże w drugiej połowie 2 roku zaobserwowaliśmy znaczącą zmianę w sposobie wykorzystania AceCryptor. Nie tylko zaobserwowaliśmy i zablokowaliśmy ponad dwukrotnie więcej ataków w drugiej połowie 2023 r. w porównaniu z pierwszą połową 2 r., ale zauważyliśmy również, że firma Rescoms (znana również jako Remcos) zaczęła używać AceCryptor, co wcześniej nie miało miejsca.

Zdecydowana większość próbek RAT Rescoms wypełnionych AceCryptorem została wykorzystana jako początkowy wektor kompromisu w wielu kampaniach spamowych skierowanych do krajów europejskich, w tym Polski, Słowacji, Bułgarii i Serbii.

Kluczowe punkty tego wpisu na blogu:

• W drugiej połowie 2 r. firma AceCryptor w dalszym ciągu świadczył usługi pakowania dziesiątek bardzo znanych rodzin szkodliwego oprogramowania.
• Mimo że oprogramowanie AceCryptor jest dobrze znane z produktów zabezpieczających, jego rozpowszechnienie nie wykazuje oznak spadku: wręcz przeciwnie, liczba ataków znacznie wzrosła dzięki kampaniom Rescoms.
• AceCryptor to program szyfrujący wybierany przez podmioty zagrażające, których celem są określone kraje i cele (np. firmy w określonym kraju).
• W drugiej połowie 2 r. firma ESET wykryła wiele kampanii AceCryptor+Rescoms w krajach europejskich, głównie w Polsce, Bułgarii, Hiszpanii i Serbii.
• W niektórych przypadkach podmiot zagrażający stojący za tymi kampaniami wykorzystywał przejęte konta do wysyłania wiadomości e-mail ze spamem, aby wyglądały jak najbardziej wiarygodnie.
• Celem kampanii spamowych było uzyskanie danych uwierzytelniających przechowywanych w przeglądarkach lub klientach poczty e-mail, co w przypadku udanego kompromisu otwierało możliwości dalszych ataków.

AceCryptor w drugiej połowie 2 r

W pierwszej połowie 2023 roku ESET ochronił około 13,000 42,000 użytkowników przed złośliwym oprogramowaniem zawierającym AceCryptor. W drugiej połowie roku nastąpił ogromny wzrost rozprzestrzeniania się złośliwego oprogramowania zawierającego oprogramowanie AceCryptor, a liczba wykrytych przez nas zagrożeń wzrosła trzykrotnie, co dało ponad 1 XNUMX chronionych użytkowników oprogramowania ESET na całym świecie. Jak widać na rysunku XNUMX, wykryliśmy wiele nagłych fal rozprzestrzeniania się złośliwego oprogramowania. Te skoki pokazują wiele kampanii spamowych skierowanych do krajów europejskich, w których AceCryptor spakował RAT Rescoms (więcej o tym w Kampanie Rescom Sekcja).

Co więcej, jeśli porównamy surową liczbę próbek: w pierwszej połowie 2023 r. firma ESET wykryła ponad 23,000 2023 unikalnych próbek złośliwego oprogramowania AceCryptor; w drugiej połowie 17,000 r. zaobserwowaliśmy i wykryliśmy „tylko” ponad 60 XNUMX unikalnych próbek. Choć może to być nieoczekiwane, po bliższym przyjrzeniu się danym można znaleźć rozsądne wyjaśnienie. W kampaniach spamowych Rescoms wykorzystywano te same szkodliwe pliki w kampaniach e-mailowych wysyłanych do większej liczby użytkowników, zwiększając w ten sposób liczbę osób, które zetknęły się ze złośliwym oprogramowaniem, jednocześnie utrzymując liczbę różnych plików na niskim poziomie. Nie miało to miejsca w poprzednich okresach, ponieważ Rescoms prawie nigdy nie był używany w połączeniu z AceCryptorem. Innym powodem spadku liczby unikalnych próbek jest fakt, że niektóre popularne rodziny najwyraźniej przestały (lub prawie przestały) używać AceCryptor jako podstawowego rozwiązania CaaS. Przykładem jest złośliwe oprogramowanie Danabot, które przestało używać AceCryptor; także prominentny RedLine Stealer, którego użytkownicy przestali tak często korzystać z AceCryptor, w oparciu o ponad XNUMX% spadek próbek AceCryptor zawierających to złośliwe oprogramowanie.

Jak widać na rysunku 2, AceCryptor nadal dystrybuuje, oprócz Rescoms, próbki z wielu różnych rodzin złośliwego oprogramowania, takich jak SmokeLoader, ransomware STOP i złodziej Vidar.

W pierwszej połowie 2023 r. krajami najbardziej dotkniętymi złośliwym oprogramowaniem spakowanym przez AceCryptor były Peru, Meksyk, Egipt i Türkiye, gdzie w Peru (4,700) odnotowano największą liczbę ataków. Kampanie spamowe Rescom zmieniły te statystyki radykalnie w drugiej połowie roku. Jak widać na rysunku 3, szkodliwe oprogramowanie zawierające AceCryptor atakowało głównie kraje europejskie. Zdecydowanie najbardziej dotkniętym krajem jest Polska, gdzie firma ESET zapobiegła ponad 26,000 1 ataków; za nimi plasują się Ukraina, Hiszpania i Serbia. Warto wspomnieć, że w każdym z tych krajów produkty ESET zapobiegły większej liczbie ataków niż w najbardziej dotkniętym kraju w pierwszej połowie 2023 r., czyli Peru.

Próbki AceCryptor, które zaobserwowaliśmy w drugiej połowie, często zawierały jako ładunek dwie rodziny szkodliwego oprogramowania: Rescoms i SmokeLoader. Skok na Ukrainie został spowodowany przez SmokeLoader. O tym fakcie już wspomniano przez Ukraińską RBNiO. Z drugiej strony w Polsce, Słowacji, Bułgarii i Serbii wzmożoną aktywność spowodował AceCryptor zawierający Rescoms jako końcowy ładunek.

Kampanie Rescom

W pierwszej połowie 2023 roku w naszej telemetrii zaobserwowaliśmy mniej niż sto przypadków próbek AceCryptor z Rescomami w środku. W drugiej połowie roku Rescoms stał się najpowszechniejszą rodziną złośliwego oprogramowania pakowaną przez AceCryptor, z ponad 32,000 4 odsłon. Ponad połowa tych prób miała miejsce w Polsce, a następnie w Serbii, Hiszpanii, Bułgarii i Słowacji (wykres XNUMX).

Kampanie w Polsce

Dzięki telemetrii ESET mogliśmy zaobserwować osiem znaczących kampanii spamowych skierowanych do Polski w drugiej połowie 2 roku. Jak widać na rysunku 2023, większość z nich miała miejsce we wrześniu, ale zdarzały się też kampanie w sierpniu i grudniu.

Łącznie ESET zarejestrował w tym okresie w Polsce ponad 26,000 2 takich ataków. Wszystkie kampanie spamowe były skierowane do firm w Polsce, a wszystkie e-maile miały bardzo podobne tematy dotyczące ofert BXNUMXB dla firm ofiar. Aby wyglądać jak najbardziej wiarygodnie, napastnicy zastosowali w wiadomościach spamowych następujące sztuczki:

• Adresy e-mail, na które wysyłano wiadomości spamowe z imitowanych domen innych firm. Atakujący użyli innej TLD, zmienili literę w nazwie firmy lub kolejność słów w przypadku nazwy firmy składającej się z wielu słów (technika ta znana jest jako typosquatting).
• Najbardziej godne uwagi jest to, że zaangażowanych jest wiele kampanii kompromis w e-mailach biznesowych – napastnicy wykorzystali wcześniej przejęte konta e-mail innych pracowników firmy w celu wysyłania wiadomości spamowych. W ten sposób, nawet jeśli potencjalna ofiara szukała zwykłych sygnałów ostrzegawczych, po prostu ich tam nie było, a wiadomość e-mail wyglądała tak wiarygodnie, jak tylko mogła.

Atakujący przeprowadzili rozeznanie i podpisując te e-maile, wykorzystali istniejące polskie nazwy firm, a nawet nazwiska pracowników/właścicieli oraz dane kontaktowe. Zrobiono to tak, aby w przypadku, gdy ofiara próbowała wyszukać w Google nazwę nadawcy, wyszukiwanie zakończyło się sukcesem, co mogło doprowadzić ją do otwarcia szkodliwego załącznika.

• Treść wiadomości spamowych była w niektórych przypadkach prostsza, ale w wielu przypadkach (jak w przykładzie na rysunku 6) dość skomplikowana. Zwłaszcza te bardziej rozbudowane wersje należy uznać za niebezpieczne, ponieważ odbiegają od standardowego wzorca tekstu ogólnego, który często jest pełen błędów gramatycznych.

Wiadomość e-mail pokazana na rysunku 6 zawiera komunikat, po którym następuje informacja o przetwarzaniu danych osobowych przez rzekomego nadawcę oraz o możliwości „dostępu do treści Twoich danych oraz prawa do ich sprostowania, usunięcia, ograniczenia przetwarzania, prawa do przenoszenia danych , prawo do wniesienia sprzeciwu oraz prawo do wniesienia skargi do organu nadzorczego”. Sam komunikat można przetłumaczyć następująco:

Szanowny Panie,

Jestem Sylwester [usunięto] z [usunięto]. Waszą firmę polecił nam partner biznesowy. Prosimy o podanie załączonej listy zamówień. Prosimy również o poinformowanie nas o warunkach płatności.

Czekamy na Twoją odpowiedź i dalszą dyskusję.

-

Z poważaniem,

Załączniki we wszystkich kampaniach wyglądały dość podobnie (Rysunek 7). Do maili dołączone było archiwum lub plik ISO o nazwie oferta/zapytanie (oczywiście w języku polskim), w niektórych przypadkach także z numerem zamówienia. Plik ten zawierał plik wykonywalny AceCryptor, który rozpakowywał i uruchamiał Rescoms.

Na podstawie zachowania szkodliwego oprogramowania zakładamy, że celem tych kampanii było uzyskanie danych uwierzytelniających poczty elektronicznej i przeglądarki, a tym samym uzyskanie wstępnego dostępu do docelowych firm. Choć nie wiadomo, czy zebrano dane uwierzytelniające grupy, która przeprowadziła te ataki, czy też skradzione dane uwierzytelniające zostaną później sprzedane innym podmiotom zagrażającym, pewne jest, że udany kompromis otwiera możliwość dalszych ataków, zwłaszcza z obecnie popularnych, ataki ransomware.

Należy zaznaczyć, że Rescoms RAT można kupić; dlatego wiele podmiotów zagrażających wykorzystuje go w swoich operacjach. Kampanie te łączy nie tylko podobieństwo celów, struktura załączników, treść e-maili czy triki i techniki stosowane w celu oszukania potencjalnych ofiar, ale także pewne mniej oczywiste cechy. W samym złośliwym oprogramowaniu znaleźliśmy artefakty (np. identyfikator licencji Rescoms), które łączą te kampanie, ujawniając, że wiele z tych ataków przeprowadziło jedno ugrupowanie zagrażające.

Kampanie na Słowacji, Bułgarii i Serbii

W tych samych okresach, co kampanie w Polsce, telemetria ESET zarejestrowała także trwające kampanie na Słowacji, Bułgarii i Serbii. Kampanie te były również skierowane głównie do lokalnych firm, a w samym złośliwym oprogramowaniu możemy znaleźć artefakty łączące te kampanie z tym samym ugrupowaniem zagrażającym, które przeprowadziło kampanie w Polsce. Jedyną istotną rzeczą, która uległa zmianie, był oczywiście język używany w wiadomościach spamowych, aby był odpowiedni dla tych konkretnych krajów.

Kampanie w Hiszpanii

Oprócz wspomnianych wcześniej kampanii, Hiszpania doświadczyła również gwałtownego wzrostu liczby wiadomości spamowych, których ostatecznym ładunkiem był Rescoms. Chociaż możemy potwierdzić, że co najmniej jedną z kampanii przeprowadził ten sam ugrupowanie cyberprzestępcze, co w poprzednich przypadkach, w przypadku pozostałych kampanii przebiegł nieco inny schemat. Co więcej, nawet artefakty, które były takie same w poprzednich przypadkach, różniły się pod tym względem, w związku z czym nie możemy stwierdzić, że kampanie w Hiszpanii pochodziły z tego samego miejsca.

Wnioski

W drugiej połowie 2023 r. wykryliśmy zmianę w wykorzystaniu AceCryptor – popularnego narzędzia szyfrującego wykorzystywanego przez wiele cyberprzestępców do pakowania wielu rodzin złośliwego oprogramowania. Mimo że rozpowszechnienie niektórych rodzin złośliwego oprogramowania, takich jak RedLine Stealer, spadło, inne podmioty zagrażające zaczęły go używać lub wykorzystywać w jeszcze większym stopniu do swoich działań, a AceCryptor nadal zyskuje na popularności. W tych kampaniach AceCryptor był używany do atakowania wielu krajów europejskich i do wydobywania informacji lub uzyskaj początkowy dostęp do wielu firm. Złośliwe oprogramowanie użyte w tych atakach było rozpowszechniane w wiadomościach spamowych, co w niektórych przypadkach było całkiem przekonujące; czasami spam był nawet wysyłany z legalnych, ale nadużywanych kont e-mail. Ponieważ otwieranie załączników z takich wiadomości e-mail może mieć poważne konsekwencje dla Ciebie lub Twojej firmy, zalecamy, abyś był świadomy tego, co otwierasz i korzystał z niezawodnego oprogramowania zabezpieczającego punkty końcowe, które jest w stanie wykryć złośliwe oprogramowanie.

W przypadku jakichkolwiek pytań dotyczących naszych badań opublikowanych na WeLiveSecurity, prosimy o kontakt pod adresem groźba intel@eset.com.
ESET Research oferuje prywatne raporty analityczne APT i strumienie danych. W przypadku jakichkolwiek pytań dotyczących tej usługi odwiedź stronę Analiza zagrożeń firmy ESET strona.

IoC

Pełną listę wskaźników kompromisu (IoC) można znaleźć w naszym dokumencie Repozytorium GitHub.

Akta

SHA-1	Nazwa pliku	Wykrywanie	Opis
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Serbii w grudniu 2023 r.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce we wrześniu 2023 r.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce i Bułgarii we wrześniu 2023 r.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Serbii we wrześniu 2023 r.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Bułgarii we wrześniu 2023 r.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce w sierpniu 2023 r.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Serbii w sierpniu 2023 r.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Bułgarii w sierpniu 2023 r.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Złośliwy załącznik z kampanii spamowej przeprowadzonej na Słowacji w sierpniu 2023 r.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Bułgarii w grudniu 2023 r.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce we wrześniu 2023 r.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce we wrześniu 2023 r.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce we wrześniu 2023 r.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Serbii we wrześniu 2023 r.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce w grudniu 2023 r.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista czyszczenia i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Polsce we wrześniu 2023 r.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Złośliwy załącznik z kampanii spamowej przeprowadzonej w Hiszpanii w sierpniu 2023 r.

Techniki SKOŚNE ATT&CK

Ten stół został zbudowany przy użyciu wersja 14 ramy MITER ATT&CK.

Taktyka	ID	Imię	Opis
Rozpoznawczy	T1589.002	Zbierz informacje o tożsamości ofiary: Adresy e-mail	Adresy e-mail i dane kontaktowe (kupione lub zebrane z publicznie dostępnych źródeł) były wykorzystywane w kampaniach phishingowych skierowanych do firm w wielu krajach.
Rozwój zasobów	T1586.002	Konta kompromisowe: Konta e-mail	Atakujący wykorzystali przejęte konta e-mail do wysyłania wiadomości phishingowych w kampaniach spamowych, aby zwiększyć wiarygodność wiadomości spamowych.
	T1588.001	Uzyskiwanie możliwości: złośliwe oprogramowanie	Atakujący kupili i wykorzystali AceCryptor i Rescom do kampanii phishingowych.
Wstępny dostęp	T1566	phishing	Napastnicy wykorzystywali wiadomości phishingowe ze złośliwymi załącznikami do hakowania komputerów i kradzieży informacji od firm w wielu krajach europejskich.
	T1566.001	Phishing: załącznik Spearphishing	Napastnicy wykorzystali wiadomości typu spearphishing do włamania się do komputerów i kradzieży informacji z firm w wielu krajach europejskich.
Egzekucja	T1204.002	Wykonanie użytkownika: Złośliwy plik	Atakujący polegali na tym, że użytkownicy otwierali i uruchamiali złośliwe pliki zawierające złośliwe oprogramowanie spakowane przez AceCryptor.
Dostęp do poświadczeń	T1555.003	Poświadczenia z magazynów haseł: Poświadczenia z przeglądarek internetowych	Osoby atakujące próbowały ukraść dane uwierzytelniające z przeglądarek i klientów poczty e-mail.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/