Rescoms călărește valuri de spam AceCryptor

Anul trecut, ESET a publicat un postare pe blog despre AceCryptor – unul dintre cele mai populare și răspândite cryptor-as-a-service (CaaS) care operează din 2016. Pentru semestrul I 1 am publicat statistici din telemetria noastră, conform cărora tendințele din perioadele precedente au continuat fără schimbări drastice.

Cu toate acestea, în H2 2023 am înregistrat o schimbare semnificativă în modul în care este utilizat AceCryptor. Nu numai că am văzut și am blocat peste două atacuri în S2 2023 în comparație cu S1 2023, dar am observat și că Rescoms (cunoscut și sub numele de Remcos) a început să folosească AceCryptor, ceea ce nu a fost cazul înainte.

Marea majoritate a mostrelor Rescoms RAT împachetate cu AceCryptor au fost folosite ca vector inițial de compromis în mai multe campanii de spam care vizează țări europene, inclusiv Polonia, Slovacia, Bulgaria și Serbia.

Puncte cheie ale acestei postări pe blog:

• AceCryptor a continuat să ofere servicii de ambalare pentru zeci de familii de malware foarte cunoscute în al doilea semestru al 2.
• Chiar dacă este bine cunoscută de produsele de securitate, prevalența AceCryptor nu dă indicii de scădere: dimpotrivă, numărul de atacuri a crescut semnificativ datorită campaniilor Rescoms.
• AceCryptor este un criptor la alegere a actorilor amenințărilor care vizează anumite țări și ținte (de exemplu, companii dintr-o anumită țară).
• În semestrul al doilea 2, ESET a detectat mai multe campanii AceCryptor+Rescoms în țări europene, în principal Polonia, Bulgaria, Spania și Serbia.
• Actorul amenințărilor din spatele acestor campanii a abuzat în unele cazuri de conturile compromise pentru a trimite e-mailuri de tip spam pentru a le face să pară cât mai credibile posibil.
• Scopul campaniilor de spam a fost obținerea de acreditări stocate în browsere sau clienți de e-mail, care în cazul unui compromis de succes ar deschide posibilități pentru alte atacuri.

AceCryptor în H2 2023

În prima jumătate a anului 2023, ESET a protejat aproximativ 13,000 de utilizatori de malware-ul ambalat în AceCryptor. În a doua jumătate a anului, a existat o creștere masivă a programelor malware ambalate cu AceCryptor care se răspândesc în sălbăticie, detectările noastre triplându-se, rezultând peste 42,000 de utilizatori ESET protejați din întreaga lume. După cum se poate observa în Figura 1, am detectat mai multe valuri bruște de răspândire a malware-ului. Aceste vârfuri arată mai multe campanii de spam care vizează țările europene în care AceCryptor a împachetat un Rescoms RAT (discutat mai multe în Campanii de rescoms secțiune).

În plus, când comparăm numărul brut de mostre: în prima jumătate a anului 2023, ESET a detectat peste 23,000 de mostre unice rău intenționate de AceCryptor; în a doua jumătate a anului 2023, am văzut și detectat „doar” peste 17,000 de mostre unice. Chiar dacă acest lucru ar putea fi neașteptat, după o privire mai atentă a datelor există o explicație rezonabilă. Campaniile de spam Rescoms au folosit același fișier(e) rău intenționat(e) în campaniile de e-mail trimise unui număr mai mare de utilizatori, crescând astfel numărul de persoane care au întâlnit malware-ul, dar menținând totuși numărul de fișiere diferite scăzut. Acest lucru nu s-a întâmplat în perioadele anterioare, deoarece Rescoms nu a fost aproape niciodată folosit în combinație cu AceCryptor. Un alt motiv pentru scăderea numărului de mostre unice este că unele familii populare aparent au încetat (sau aproape au încetat) să folosească AceCryptor ca CaaS lor. Un exemplu este malware Danabot care a încetat să mai folosească AceCryptor; de asemenea, proeminentul RedLine Stealer ai cărui utilizatori au încetat să mai folosească AceCryptor la fel de mult, pe baza unei scăderi mai mari de 60% a mostrelor AceCryptor care conțineau acel malware.

După cum se vede în Figura 2, AceCryptor încă mai distribuie, în afară de Rescoms, mostre din multe familii diferite de malware, cum ar fi SmokeLoader, STOP ransomware și Vidar stealer.

În prima jumătate a anului 2023, țările cele mai afectate de programele malware ambalate de AceCryptor au fost Peru, Mexic, Egipt și Turcia, unde Peru, la 4,700, a avut cel mai mare număr de atacuri. Campaniile de spam Rescoms au schimbat radical aceste statistici în a doua jumătate a anului. După cum se poate observa în Figura 3, malware-ul ambalat cu AceCryptor a afectat în mare parte țările europene. De departe, cea mai afectată țară este Polonia, unde ESET a prevenit peste 26,000 de atacuri; acesta este urmat de Ucraina, Spania și Serbia. Și, merită menționat că în fiecare dintre aceste țări, produsele ESET au prevenit mai multe atacuri decât în ​​cea mai afectată țară în S1 2023, Peru.

Mostrele AceCryptor pe care le-am observat în H2 conțineau adesea două familii de malware ca sarcină utilă: Rescoms și SmokeLoader. Un vârf în Ucraina a fost cauzat de SmokeLoader. Acest fapt a fost deja menționat de către NSDC din Ucraina. Pe de altă parte, în Polonia, Slovacia, Bulgaria și Serbia, creșterea activității a fost cauzată de AceCryptor care conține Rescoms ca sarcină utilă finală.

Campanii de rescoms

În prima jumătate a anului 2023, am văzut în telemetria noastră mai puțin de o sută de incidente de mostre AceCryptor cu Rescoms în interior. În cea de-a doua jumătate a anului, Rescoms a devenit cea mai răspândită familie de programe malware ambalate de AceCryptor, cu peste 32,000 de accesări. Peste jumătate dintre aceste încercări au avut loc în Polonia, urmată de Serbia, Spania, Bulgaria și Slovacia (Figura 4).

Campanii în Polonia

Datorită telemetriei ESET, am reușit să observăm opt campanii de spam semnificative care vizează Polonia în al doilea semestru al 2. După cum se poate observa în Figura 2023, majoritatea au avut loc în septembrie, dar au existat și campanii în august și decembrie.

În total, ESET a înregistrat peste 26,000 dintre aceste atacuri în Polonia pentru această perioadă. Toate campaniile de spam au vizat companiile din Polonia și toate e-mailurile au avut subiecte foarte asemănătoare despre ofertele B2B pentru companiile victime. Pentru a arăta cât mai credibil posibil, atacatorii au încorporat următoarele trucuri în e-mailurile spam:

• Adrese de e-mail la care trimiteau e-mailuri spam de la domenii imitate ale altor companii. Atacatorii au folosit un alt TLD, au schimbat o literă din numele unei companii sau ordinea cuvintelor în cazul unui nume de companie cu mai multe cuvinte (această tehnică este cunoscută sub numele de typosquatting).
• Cel mai de remarcat este faptul că sunt implicate mai multe campanii compromis de e-mail de afaceri – atacatorii au abuzat de conturile de e-mail compromise anterior ale altor angajați ai companiei pentru a trimite e-mailuri spam. În acest fel, chiar dacă potențiala victimă a căutat steaguri roșii obișnuite, pur și simplu nu erau acolo, iar e-mailul părea cât se poate de legitim.

Atacatorii și-au făcut cercetările și au folosit numele companiilor poloneze existente și chiar numele angajaților/proprietarului și informațiile de contact existente atunci când semnau acele e-mailuri. Acest lucru s-a făcut astfel încât, în cazul în care o victimă încearcă să caute pe Google numele expeditorului, căutarea să aibă succes, ceea ce ar putea duce la deschiderea atașamentului rău intenționat.

• Conținutul e-mailurilor spam a fost în unele cazuri mai simplu, dar în multe cazuri (cum ar fi exemplul din Figura 6) destul de elaborat. În special, aceste versiuni mai elaborate ar trebui considerate periculoase, deoarece se abat de la tiparul standard al textului generic, care este adesea plin de greșeli gramaticale.

E-mailul prezentat în Figura 6 conține un mesaj urmat de informații despre prelucrarea informațiilor personale efectuate de presupusul expeditor și posibilitatea de a „accesa conținutul datelor dumneavoastră și dreptul de a rectifica, șterge, limita restricții de prelucrare, dreptul la transfer de date. , dreptul de a ridica o obiecție și dreptul de a depune o plângere la autoritatea de supraveghere”. Mesajul în sine poate fi tradus astfel:

Stimate domn,

Sunt Sylwester [exprimat] din [exprimat]. Compania dvs. ne-a fost recomandată de un partener de afaceri. Vă rugăm să citați lista de comenzi atașată. Vă rugăm să ne informați și despre condițiile de plată.

Așteptăm cu nerăbdare răspunsul dumneavoastră și discuții suplimentare.

-

Salutari,

Atașamentele din toate campaniile au arătat destul de asemănătoare (Figura 7). E-mailurile conțineau o arhivă atașată sau un fișier ISO numit ofertă/interogare (desigur în poloneză), în unele cazuri, însoțită și de un număr de comandă. Acel fișier conținea un executabil AceCryptor care a despachetat și a lansat Rescoms.

Pe baza comportamentului malware-ului, presupunem că scopul acestor campanii a fost obținerea acreditărilor de e-mail și browser și, astfel, obținerea accesului inițial la companiile vizate. Deși nu se știe dacă acreditările au fost strânse pentru grupul care a comis aceste atacuri sau dacă acele acreditări furate vor fi ulterior vândute altor actori de amenințări, este cert că compromisul de succes deschide posibilitatea unor atacuri ulterioare, în special de la, popular în prezent, atacuri ransomware.

Este important de precizat că Rescoms RAT poate fi cumpărat; astfel încât mulți actori amenințări îl folosesc în operațiunile lor. Aceste campanii nu sunt conectate doar prin asemănarea țintei, structura atașărilor, textul e-mailului sau trucurile și tehnicile folosite pentru a înșela potențialele victime, ci și prin unele proprietăți mai puțin evidente. În malware-ul în sine, am reușit să găsim artefacte (de exemplu, ID-ul licenței pentru Rescoms) care leagă acele campanii, dezvăluind că multe dintre aceste atacuri au fost efectuate de un singur actor de amenințare.

Campanii în Slovacia, Bulgaria și Serbia

În aceleași perioade ca și campaniile din Polonia, telemetria ESET a înregistrat și campanii în derulare în Slovacia, Bulgaria și Serbia. Aceste campanii au vizat, de asemenea, în principal companii locale și putem găsi chiar artefacte în malware-ul însuși care leagă aceste campanii de același actor de amenințare care a desfășurat campaniile în Polonia. Singurul lucru semnificativ care s-a schimbat a fost, desigur, limba folosită în e-mailurile spam pentru a fi potrivită pentru acele țări specifice.

Campanii în Spania

În afară de campaniile menționate anterior, Spania a cunoscut și o creștere a e-mailurilor spam cu Rescoms ca sarcină utilă finală. Chiar dacă putem confirma că cel puțin una dintre campanii a fost realizată de același actor de amenințare ca în aceste cazuri anterioare, alte campanii au urmat un model oarecum diferit. În plus, chiar și artefactele care erau aceleași în cazurile anterioare au fost diferite în acestea și, din această cauză, nu putem concluziona că campaniile din Spania au provenit din același loc.

Concluzie

În a doua jumătate a anului 2023, am detectat o schimbare în utilizarea AceCryptor – un criptor popular folosit de mai mulți actori amenințări pentru a împacheta multe familii de malware. Chiar dacă prevalența unor familii de malware precum RedLine Stealer a scăzut, alți actori de amenințări au început să-l folosească sau să-l folosească și mai mult pentru activitățile lor, iar AceCryptor este încă puternic. În aceste campanii, AceCryptor a fost folosit pentru a viza mai multe țări europene și pentru a extrage informații. sau obțineți acces inițial la mai multe companii. Malware în aceste atacuri a fost distribuit în e-mailuri spam, care au fost în unele cazuri destul de convingătoare; uneori, spam-ul a fost trimis chiar și din conturi de e-mail legitime, dar abuzate. Deoarece deschiderea atașamentelor de la astfel de e-mailuri poate avea consecințe grave pentru dvs. sau pentru compania dvs., vă sfătuim să fiți conștienți de ceea ce deschideți și să utilizați un software de securitate de încredere, capabil să detecteze malware-ul.

Pentru orice întrebări despre cercetarea noastră publicată pe WeLiveSecurity, vă rugăm să ne contactați la threatintel@eset.com.
ESET Research oferă rapoarte private de informații APT și fluxuri de date. Pentru orice întrebări despre acest serviciu, vizitați ESET Threat Intelligence .

IoC-uri

O listă cuprinzătoare a indicatorilor de compromis (IoC) poate fi găsită în documentul nostru GitHub depozit.

Fişiere

SHA-1	Filename	Detectare	Descriere
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.izo	Win32/Kryptik.HVOB	Atașare rău intenționată din campania de spam desfășurată în Serbia în decembrie 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Atașare rău intenționată din campania de spam desfășurată în Polonia în septembrie 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Atașare rău intenționată din campania de spam desfășurată în Polonia și Bulgaria în septembrie 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.izo	Win32/Kryptik.HUMX	Atașare rău intenționată din campania de spam desfășurată în Serbia în septembrie 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Atașare rău intenționată din campania de spam desfășurată în Bulgaria în septembrie 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Atașare rău intenționată din campania de spam desfășurată în Polonia în august 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Atașare rău intenționată din campania de spam desfășurată în Serbia în august 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Atașare rău intenționată din campania de spam desfășurată în Bulgaria în august 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Atașare rău intenționată din campania de spam desfășurată în Slovacia în august 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Atașare rău intenționată din campania de spam desfășurată în Bulgaria în decembrie 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Atașare rău intenționată din campania de spam desfășurată în Polonia în septembrie 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Atașare rău intenționată din campania de spam desfășurată în Polonia în septembrie 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Atașare rău intenționată din campania de spam desfășurată în Polonia în septembrie 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Atașare rău intenționată din campania de spam desfășurată în Serbia în septembrie 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Atașare rău intenționată din campania de spam desfășurată în Polonia în decembrie 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Atașare rău intenționată din campania de spam desfășurată în Polonia în septembrie 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Atașare rău intenționată din campania de spam desfășurată în Spania în august 2023.

Tehnici MITRE ATT&CK

Acest tabel a fost construit folosind Versiunea 14 din cadrul MITRE ATT&CK.

tactică	ID	Nume si Prenume	Descriere
Recunoaştere	T1589.002	Adunați informații despre identitatea victimei: adrese de e-mail	Adresele de e-mail și informațiile de contact (fie cumpărate, fie colectate din surse disponibile public) au fost folosite în campaniile de phishing pentru a viza companii din mai multe țări.
Dezvoltarea resurselor	T1586.002	Conturi compromise: Conturi de e-mail	Atacatorii au folosit conturi de e-mail compromise pentru a trimite e-mailuri de phishing în campaniile de spam pentru a crește credibilitatea e-mail-urilor de spam.
	T1588.001	Obține capabilități: malware	Atacatorii au cumpărat și au folosit AceCryptor și Rescoms pentru campanii de phishing.
Acces inițial	T1566	Phishing	Atacatorii au folosit mesaje de phishing cu atașamente rău intenționate pentru a compromite computerele și a fura informații de la companii din mai multe țări europene.
	T1566.001	Phishing: Atașament de spearphishing	Atacatorii au folosit mesaje spearphishing pentru a compromite computerele și a fura informații de la companii din mai multe țări europene.
Execuție	T1204.002	Execuție utilizator: fișier rău intenționat	Atacatorii s-au bazat pe utilizatorii care deschid și lansează fișiere rău intenționate cu programe malware împachetate de AceCryptor.
Acces la acreditări	T1555.003	Acreditări din magazinele de parole: acreditări din browsere web	Atacatorii au încercat să fure informații de acreditări din browsere și clienți de e-mail.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/