Rescoms преодолевает волны спама AceCryptor

В прошлом году ESET опубликовала пост в блоге об AceCryptor – один из самых популярных и распространенных крипторов как услуги (CaaS), работающий с 2016 года. На первое полугодие 1 года. мы опубликовали статистика нашей телеметрии, согласно которой тенденции предыдущих периодов продолжились без резких изменений.

Однако во втором полугодии 2 года мы зарегистрировали значительные изменения в использовании AceCryptor. Мы не только увидели и заблокировали вдвое больше атак во втором полугодии 2023 года по сравнению с первым полугодием 2 года, но мы также заметили, что компания Rescoms (также известная как Remcos) начала использовать AceCryptor, чего раньше не было.

Подавляющее большинство образцов Rescoms RAT, упакованных AceCryptor, использовалось в качестве первоначального вектора компрометации в многочисленных спам-кампаниях, нацеленных на европейские страны, включая Польшу, Словакию, Болгарию и Сербию.

Ключевые моменты этого поста:

• Во втором полугодии 2 года AceCryptor продолжала предоставлять услуги по упаковке десятков очень известных семейств вредоносных программ.
• Несмотря на то, что AceCryptor хорошо известен благодаря продуктам безопасности, распространенность AceCryptor не показывает признаков снижения: напротив, количество атак значительно возросло благодаря кампаниям Rescoms.
• AceCryptor — это шифратор, который выбирают злоумышленники, нацеленные на определенные страны и цели (например, компании в определенной стране).
• Во втором полугодии 2 года ESET обнаружила несколько кампаний AceCryptor+Rescoms в европейских странах, в основном в Польше, Болгарии, Испании и Сербии.
• Злоумышленник, стоящий за этими кампаниями, в некоторых случаях злоупотреблял скомпрометированными учетными записями для рассылки спам-сообщений, чтобы придать им максимально правдоподобный вид.
• Целью спам-кампаний было получение учетных данных, хранящихся в браузерах или почтовых клиентах, что в случае успешного компрометации открыло бы возможности для дальнейших атак.

AceCryptor во втором полугодии 2 г.

В первой половине 2023 года ESET защитила около 13,000 42,000 пользователей от вредоносного ПО, упакованного AceCryptor. Во второй половине года произошло массовое распространение вредоносного ПО, упакованного AceCryptor, при этом количество обнаружений утроилось, в результате чего было защищено более 1 XNUMX пользователей ESET по всему миру. Как видно на рисунке XNUMX, мы обнаружили несколько внезапных волн распространения вредоносного ПО. Эти всплески показывают многочисленные спам-кампании, нацеленные на европейские страны, где AceCryptor упаковал Rescoms RAT (подробнее об этом говорится в Рескомс-кампании раздел).

Более того, если сравнить исходное количество образцов: в первой половине 2023 года ESET обнаружила более 23,000 2023 уникальных вредоносных образцов AceCryptor; во второй половине 17,000 года мы увидели и обнаружили «всего» более 60 XNUMX уникальных образцов. Хотя это может показаться неожиданным, после более внимательного изучения данных можно найти разумное объяснение. Спам-кампании Rescoms использовали одни и те же вредоносные файлы в рассылках по электронной почте, рассылаемых большему числу пользователей, тем самым увеличивая количество людей, столкнувшихся с вредоносным ПО, но при этом сохраняя количество различных файлов на низком уровне. В предыдущие периоды этого не происходило, поскольку Rescoms почти никогда не использовался в сочетании с AceCryptor. Другая причина уменьшения количества уникальных образцов заключается в том, что некоторые популярные семейства, очевидно, перестали (или почти прекратили) использовать AceCryptor в качестве CaaS. Примером может служить вредоносное ПО Danabot, которое перестало использовать AceCryptor; а также известный RedLine Stealer, пользователи которого перестали использовать AceCryptor, основываясь на уменьшении более чем на XNUMX% количества образцов AceCryptor, содержащих это вредоносное ПО.

Как видно на рисунке 2, AceCryptor по-прежнему распространяет, помимо Rescoms, образцы многих различных семейств вредоносных программ, таких как SmokeLoader, программы-вымогатели STOP и Steer Vidar.

В первой половине 2023 года странами, наиболее пострадавшими от вредоносного ПО, упакованного AceCryptor, были Перу, Мексика, Египет и Турция, где в Перу (4,700) произошло наибольшее количество атак. Спам-кампании Rescoms кардинально изменили эту статистику во второй половине года. Как видно на рисунке 3, вредоносное ПО, упакованное AceCryptor, затронуло в основном европейские страны. Безусловно, наиболее пострадавшей страной является Польша, где ESET предотвратила более 26,000 1 атак; за ней следуют Украина, Испания и Сербия. Стоит отметить, что в каждой из этих стран продукты ESET предотвратили больше атак, чем в наиболее пострадавшей стране в первом полугодии 2023 года — Перу.

Образцы AceCryptor, которые мы наблюдали во втором полугодии, часто содержали в качестве полезной нагрузки два семейства вредоносных программ: Rescoms и SmokeLoader. Всплеск в Украине был вызван SmokeLoader. Этот факт уже упоминался СНБО Украины. С другой стороны, в Польше, Словакии, Болгарии и Сербии повышенная активность была вызвана AceCryptor, содержащим Rescoms в качестве конечной полезной нагрузки.

Рескомс-кампании

В первой половине 2023 года мы видели в нашей телеметрии менее ста инцидентов с образцами AceCryptor с Rescom внутри. Во второй половине года Rescoms стал самым распространенным семейством вредоносных программ, упакованных AceCryptor, с более чем 32,000 4 обращений. Более половины этих попыток произошло в Польше, за ней следуют Сербия, Испания, Болгария и Словакия (рис. XNUMX).

Кампании в Польше

Благодаря телеметрии ESET нам удалось наблюдать восемь крупных спам-кампаний, направленных на Польшу, во втором полугодии 2 года. Как видно на рисунке 2023, большинство из них произошло в сентябре, но были также кампании в августе и декабре.

Всего за этот период ESET зарегистрировала в Польше более 26,000 2 таких атак. Все спам-кампании были нацелены на предприятия в Польше, и все электронные письма имели очень схожие темы о предложениях BXNUMXB для компаний-жертв. Чтобы выглядеть максимально правдоподобно, злоумышленники включили в спам-письма следующие уловки:

• Адреса электронной почты, на которые рассылались спам-сообщения с поддельных доменов других компаний. Злоумышленники использовали другой TLD, меняли буквы в названии компании или порядок слов в случае, если название компании состоит из нескольких слов (этот прием известен как тайпсквоттинг).
• Наиболее примечательно то, что задействовано несколько кампаний. компромисс деловой почты – злоумышленники использовали ранее скомпрометированные учетные записи электронной почты других сотрудников компании для рассылки спама. Таким образом, даже если потенциальная жертва искала обычные красные флажки, их просто не было, и электронное письмо выглядело максимально законным.

Злоумышленники провели исследование и использовали существующие названия польских компаний и даже существующие имена сотрудников/владельцев и контактную информацию при подписании этих электронных писем. Это было сделано для того, чтобы в случае, если жертва попытается ввести в Google имя отправителя, поиск будет успешным, что может привести к открытию вредоносного вложения.

• Содержание спам-сообщений в некоторых случаях было проще, но во многих случаях (как в примере на рис. 6) было весьма сложным. Особенно опасными следует считать эти более сложные версии, поскольку они отклоняются от стандартного образца общего текста, который часто пронизан грамматическими ошибками.

Электронное письмо, показанное на рисунке 6, содержит сообщение, за которым следует информация об обработке личной информации, выполняемой предполагаемым отправителем, и возможность «получить доступ к содержимому ваших данных, а также право исправлять, удалять, ограничивать ограничения на обработку, право на передачу данных». право подать возражение и право подать жалобу в надзорный орган». Само сообщение можно перевести так:

Уважаемые господа,

Я Сильвестр [отредактировано] из [отредактировано]. Вашу компанию нам порекомендовал деловой партнер. Пожалуйста, укажите прилагаемый список заказов. Также сообщите нам об условиях оплаты.

Мы с нетерпением ждем вашего ответа и дальнейшего обсуждения.

-

С наилучшими пожеланиями,

Вложения во всех кампаниях выглядели примерно одинаково (рис. 7). Электронные письма содержали прикрепленный архив или файл ISO с названием «предложение/запрос» (конечно, на польском языке), в некоторых случаях также сопровождавшийся номером заказа. Этот файл содержал исполняемый файл AceCryptor, который распаковывал и запускал Rescoms.

Основываясь на поведении вредоносного ПО, мы предполагаем, что целью этих кампаний было получение учетных данных электронной почты и браузера и, таким образом, получение первоначального доступа к целевым компаниям. Хотя неизвестно, были ли собраны учетные данные группы, которая осуществила эти атаки, или эти украденные учетные данные будут позже проданы другим злоумышленникам, несомненно, что успешный взлом открывает возможность для дальнейших атак, особенно со стороны популярных в настоящее время атаки программ-вымогателей.

Важно отметить, что Rescoms RAT можно купить; поэтому многие субъекты угроз используют его в своих операциях. Эти кампании связаны не только сходством целей, структурой вложений, текстом электронного письма или приемами и приемами, используемыми для обмана потенциальных жертв, но и некоторыми менее очевидными свойствами. В самом вредоносном ПО нам удалось обнаружить артефакты (например, идентификатор лицензии Rescoms), которые связывают эти кампании вместе, показывая, что многие из этих атак были осуществлены одним злоумышленником.

Кампании в Словакии, Болгарии и Сербии

В те же периоды времени, что и кампании в Польше, телеметрия ESET также зарегистрировала текущие кампании в Словакии, Болгарии и Сербии. Эти кампании также в основном нацелены на местные компании, и мы даже можем найти артефакты в самом вредоносном ПО, связывающие эти кампании с тем же злоумышленником, который проводил кампании в Польше. Единственное, что изменилось, это, конечно же, язык, используемый в спам-сообщениях, чтобы он подходил для этих конкретных стран.

Кампании в Испании

Помимо ранее упомянутых кампаний, в Испании также наблюдался всплеск спам-сообщений с Rescoms в качестве конечной нагрузки. Несмотря на то, что мы можем подтвердить, что по крайней мере одна из кампаний была проведена тем же злоумышленником, что и в предыдущих случаях, другие кампании следовали несколько иной схеме. Более того, даже артефакты, которые были одинаковыми в предыдущих случаях, различались, и поэтому мы не можем заключить, что кампании в Испании произошли из одного и того же места.

Заключение

Во второй половине 2023 года мы обнаружили изменения в использовании AceCryptor — популярного шифровальщика, используемого множеством злоумышленников для упаковки многих семейств вредоносного ПО. Несмотря на то, что распространенность некоторых семейств вредоносных программ, таких как RedLine Stealer, снизилась, другие злоумышленники начали использовать их или использовали еще больше в своей деятельности, и AceCryptor по-прежнему набирает силу. В этих кампаниях AceCryptor использовался для нападения на несколько европейских стран и для извлечения информации. или получить первоначальный доступ к нескольким компаниям. Вредоносное ПО в ходе этих атак распространялось в спам-сообщениях, которые в некоторых случаях были весьма убедительными; иногда спам даже рассылался с законных, но злоупотребляемых учетных записей электронной почты. Поскольку открытие вложений из таких писем может иметь серьезные последствия для вас или вашей компании, мы советуем вам знать, что вы открываете, и использовать надежное программное обеспечение для обеспечения безопасности конечных точек, способное обнаружить вредоносное ПО.

По любым вопросам о наших исследованиях, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу угрозаintel@eset.com.
ESET Research предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.

МНК

Полный список индикаторов компрометации (IoC) можно найти в нашем Репозиторий GitHub.

Файлы

SHA-1	Имя файла	обнаружение	Описание
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Криптик.HVOB	Вредоносное вложение в результате спам-кампании, проведенной в Сербии в декабре 2023 года.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	запытание.7z	Win32/Kryptik.HUNX	Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Вредоносное вложение в результате спам-кампании, проведенной в Польше и Болгарии в сентябре 2023 года.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Вредоносное вложение в результате спам-кампании, проведенной в Сербии в сентябре 2023 года.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Криптик.ХУПК	Вредоносное вложение в результате спам-кампании, проведенной в Болгарии в сентябре 2023 года.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Криптик.HUMI	Вредоносное вложение в результате спам-кампании, проведенной в Польше в августе 2023 года.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Вредоносное вложение в результате спам-кампании, проведенной в Сербии в августе 2023 года.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7з	Win32/Kryptik.HUMF	Вредоносное вложение в результате спам-кампании, проведенной в Болгарии в августе 2023 года.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Рескомс.Б	Вредоносное вложение в результате спам-кампании, проведенной в Словакии в августе 2023 года.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Рескомс.Б	Вредоносное вложение в результате спам-кампании, проведенной в Болгарии в декабре 2023 года.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	Запытание офертове.7z	Win32/Kryptik.HUQF	Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Замовение_ andre.7z	Win32/Криптик.HUOZ	Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года.
ДБ87АА88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Криптик.HUNI	Вредоносное вложение в результате спам-кампании, проведенной в Сербии в сентябре 2023 года.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Замовение_830.iso	Win32/Криптик.HVOB	Вредоносное вложение в результате спам-кампании, проведенной в Польше в декабре 2023 года.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zmówień i szczegółowe zdjęcia.arj	Win32/Криптик.ХУПК	Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Педидо.iso	Win32/Kryptik.HUMF	Вредоносное вложение в результате спам-кампании, проведенной в Испании в августе 2023 года.

Техники MITER ATT & CK

Эта таблица была построена с использованием версия 14 каркаса MITER ATT & CK.

тактика	ID	Имя	Описание
разведывательный	T1589.002	Сбор информации о личности жертвы: адреса электронной почты	Адреса электронной почты и контактная информация (купленные или собранные из общедоступных источников) использовались в фишинговых кампаниях, нацеленных на компании во многих странах.
Развитие ресурсов	T1586.002	Взлом учетных записей: учетные записи электронной почты	Злоумышленники использовали скомпрометированные учетные записи электронной почты для рассылки фишинговых писем в рамках спам-кампаний, чтобы повысить доверие к спам-сообщениям.
	T1588.001	Получить возможности: вредоносное ПО	Злоумышленники купили и использовали AceCryptor и Rescoms для фишинговых кампаний.
Первоначальный доступ	T1566	Фишинг	Злоумышленники использовали фишинговые сообщения с вредоносными вложениями, чтобы скомпрометировать компьютеры и украсть информацию у компаний во многих европейских странах.
	T1566.001	Фишинг: Целевое фишинговое вложение	Злоумышленники использовали целевые фишинговые сообщения, чтобы взломать компьютеры и украсть информацию у компаний во многих европейских странах.
Типы	T1204.002	Пользовательское выполнение: вредоносный файл	Злоумышленники полагались на то, что пользователи открывают и запускают вредоносные файлы с вредоносным ПО, упакованным AceCryptor.
Доступ к учетным данным	T1555.003	Учетные данные из хранилищ паролей: Учетные данные из веб-браузеров	Злоумышленники пытались украсть учетные данные из браузеров и почтовых клиентов.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/