TeslaGun este pregătit să declanșeze un nou val de atacuri cibernetice în spate

A fost descoperit un panou de atac cibernetic nou descoperit, numit TeslaGun, folosit de Evil Corp pentru a desfășura campanii de tip backdoor ServHelper.

Datele culese dintr-o analiză a echipei Prodraft Threat Intelligence (PTI) arată că banda de ransomware Evil Corp (alias TA505 sau UNC2165, împreună cu alte o jumătate de duzină de nume de urmărire colorate) a folosit TeslaGun pentru a desfășura campanii de phishing în masă și campanii direcționate împotriva mai multor persoane. peste 8,000 de organizații și persoane diferite. Majoritatea țintelor au fost în SUA, care au reprezentat mai mult de 3,600 de victime, cu o distribuție internațională împrăștiată în afara acesteia.

A existat o extindere continuă a malware-ului ServHelper pentru ușile din spate, un pachet de lungă durată și actualizat în mod constant, care se desfășoară cel puțin din 2019. A început să se aprindă din nou în a doua jumătate a anului 2021, potrivit unui raport de la Cisco Talos, stimulat de mecanisme precum programele de instalare false și programele malware asociate de instalare precum Raccoon și Amadey. 

Cel mai recent, informații despre amenințări de la Trellix luna trecută a raportat că ușa din spate ServHelper a fost găsită recent aruncând criptomineri ascunși pe sisteme.

Raportul PTI, publicat marți, analizează specificul tehnice din spatele TeslaGun și oferă câteva detalii și sfaturi care pot ajuta întreprinderile să avanseze cu contramăsuri importante la unele dintre tendințele dominante în domeniul atacurilor cibernetice din ușile din spate.

Atacurile backdoor care ocolesc mecanismele de autentificare și stabilesc în liniște persistența pe sistemele întreprinderii sunt unele dintre cele mai deconcertante pentru apărătorii securității cibernetice. Asta pentru că aceste atacuri sunt notoriu dificil de detectat sau prevenit cu controalele standard de securitate. 

Atacatorii din ușile din spate își diversifică activele de atac

Cercetătorii PTI au spus că au observat o gamă largă de profiluri și campanii diferite de victime în timpul investigațiilor lor, susținând cercetările anterioare care au arătat că atacurile ServHelper caută victime într-o varietate de campanii simultane. Acesta este un model de atac marcat de lansare a unei plase largă pentru lovituri oportuniste.

„O singură instanță a panoului de control TeslaGun conține mai multe înregistrări ale campaniei reprezentând diferite metode de livrare și date de atac”, a explicat raportul. „Versiunile mai noi ale malware-ului codifică aceste campanii diferite ca ID-uri de campanie.”

Dar atacatorii cibernetici vor profila în mod activ victimele

În același timp, TeslaGun conține o mulțime de dovezi că atacatorii profilează victimele, iau note abundente în unele momente și efectuează atacuri țintite în spate.

„Echipa PTI a observat că tabloul de bord principal al panoului TeslaGun include comentarii atașate înregistrărilor victimelor. Aceste înregistrări arată date despre dispozitivul victimei, cum ar fi CPU, GPU, dimensiunea RAM și viteza conexiunii la internet”, se spune în raport, explicând că acest lucru indică țintirea oportunităților de criptominere. „Pe de altă parte, conform comentariilor victimelor, este clar că TA505 caută în mod activ utilizatori de servicii bancare online sau de retail, inclusiv cripto-portofele și conturi de comerț electronic.”

Raportul spune că majoritatea victimelor par să opereze în sectorul financiar, dar că această țintire nu este exclusivă.

Revânzarea este o parte importantă a monetizării din spate

Modul în care sunt configurate opțiunile de utilizator ale panoului de control a oferit cercetătorilor o mulțime de informații despre „fluxul de lucru și strategia comercială” a grupului, se arată în raport. De exemplu, unele opțiuni de filtrare au fost etichetate „Vând” și „Vând 2”, victimele din aceste grupuri având protocoalele desktop la distanță (RDP) dezactivate temporar prin intermediul panoului.

„Acest lucru înseamnă probabil că TA505 nu poate obține imediat profit din exploatarea acestor victime”, potrivit raportului. „În loc să le lase să plece, grupul a etichetat conexiunile RDP ale victimelor pentru revânzarea altor infractori cibernetici.”

Raportul PTI spune că, pe baza observațiilor cercetătorilor, structura internă a grupului a fost „surprinzător de dezorganizată”, dar că membrii săi încă „își monitorizează cu atenție victimele și pot demonstra o răbdare remarcabilă, în special cu victimele de mare valoare din sectorul financiar”.

Analiza remarcă în continuare că puterea grupului este agilitatea acestuia, ceea ce face dificilă prezicerea activității și detectarea în timp.

Cu toate acestea, atacatorii din ușile din spate nu sunt perfecți, iar acest lucru poate oferi câteva indicii profesioniștilor în securitate cibernetică care doresc să le zădărnicească eforturile.

„Totuși, grupul prezintă unele slăbiciuni revelatoare. În timp ce TA505 poate menține conexiuni ascunse pe dispozitivele victimelor luni de zile, membrii săi sunt adesea neobișnuit de zgomotoși”, se arată în raport. „După instalarea ServHelper, actorii amenințărilor TA505 se pot conecta manual la dispozitivele victime prin tunelul RDP. Tehnologiile de securitate capabile să detecteze aceste tuneluri se pot dovedi vitale pentru prinderea și atenuarea atacurilor din spate ale TA505.”

Evil Corp, legat de Rusia (și sancționat), a fost unul dintre cele mai prolifice grupuri din ultimii cinci ani. In conformitate cu Guvernul SUA, grupul este creierul din spatele troianului financiar Dridex și are asocieri cu campanii care utilizează variante de ransomware precum WastedLocker. Ea continuă să perfecționeze o serie de arme și pentru arsenalul său; săptămâna trecută, a ieșit la iveală că este asociat Infecții cu Raspberry Robin.

PTI folosește TA505 pentru a urmări amenințarea și consensul este solid dar nu universal că TA505 și Evil Corp sunt același grup. Un raport luna trecută de la Centrul de coordonare a securității cibernetice în sectorul sănătății (HC3) a spus că „în prezent nu sprijină această concluzie”.