В прошлом году ESET опубликовала пост в блоге об AceCryptor – один из самых популярных и распространенных крипторов как услуги (CaaS), работающий с 2016 года. На первое полугодие 1 года. мы опубликовали статистика нашей телеметрии, согласно которой тенденции предыдущих периодов продолжились без резких изменений.
Однако во втором полугодии 2 года мы зарегистрировали значительные изменения в использовании AceCryptor. Мы не только увидели и заблокировали вдвое больше атак во втором полугодии 2023 года по сравнению с первым полугодием 2 года, но мы также заметили, что компания Rescoms (также известная как Remcos) начала использовать AceCryptor, чего раньше не было.
Подавляющее большинство образцов Rescoms RAT, упакованных AceCryptor, использовалось в качестве первоначального вектора компрометации в многочисленных спам-кампаниях, нацеленных на европейские страны, включая Польшу, Словакию, Болгарию и Сербию.
Ключевые моменты этого поста:
- Во втором полугодии 2 года AceCryptor продолжала предоставлять услуги по упаковке десятков очень известных семейств вредоносных программ.
- Несмотря на то, что AceCryptor хорошо известен благодаря продуктам безопасности, распространенность AceCryptor не показывает признаков снижения: напротив, количество атак значительно возросло благодаря кампаниям Rescoms.
- AceCryptor — это шифратор, который выбирают злоумышленники, нацеленные на определенные страны и цели (например, компании в определенной стране).
- Во втором полугодии 2 года ESET обнаружила несколько кампаний AceCryptor+Rescoms в европейских странах, в основном в Польше, Болгарии, Испании и Сербии.
- Злоумышленник, стоящий за этими кампаниями, в некоторых случаях злоупотреблял скомпрометированными учетными записями для рассылки спам-сообщений, чтобы придать им максимально правдоподобный вид.
- Целью спам-кампаний было получение учетных данных, хранящихся в браузерах или почтовых клиентах, что в случае успешного компрометации открыло бы возможности для дальнейших атак.
AceCryptor во втором полугодии 2 г.
В первой половине 2023 года ESET защитила около 13,000 42,000 пользователей от вредоносного ПО, упакованного AceCryptor. Во второй половине года произошло массовое распространение вредоносного ПО, упакованного AceCryptor, при этом количество обнаружений утроилось, в результате чего было защищено более 1 XNUMX пользователей ESET по всему миру. Как видно на рисунке XNUMX, мы обнаружили несколько внезапных волн распространения вредоносного ПО. Эти всплески показывают многочисленные спам-кампании, нацеленные на европейские страны, где AceCryptor упаковал Rescoms RAT (подробнее об этом говорится в Рескомс-кампании раздел).
Более того, если сравнить исходное количество образцов: в первой половине 2023 года ESET обнаружила более 23,000 2023 уникальных вредоносных образцов AceCryptor; во второй половине 17,000 года мы увидели и обнаружили «всего» более 60 XNUMX уникальных образцов. Хотя это может показаться неожиданным, после более внимательного изучения данных можно найти разумное объяснение. Спам-кампании Rescoms использовали одни и те же вредоносные файлы в рассылках по электронной почте, рассылаемых большему числу пользователей, тем самым увеличивая количество людей, столкнувшихся с вредоносным ПО, но при этом сохраняя количество различных файлов на низком уровне. В предыдущие периоды этого не происходило, поскольку Rescoms почти никогда не использовался в сочетании с AceCryptor. Другая причина уменьшения количества уникальных образцов заключается в том, что некоторые популярные семейства, очевидно, перестали (или почти прекратили) использовать AceCryptor в качестве CaaS. Примером может служить вредоносное ПО Danabot, которое перестало использовать AceCryptor; а также известный RedLine Stealer, пользователи которого перестали использовать AceCryptor, основываясь на уменьшении более чем на XNUMX% количества образцов AceCryptor, содержащих это вредоносное ПО.
Как видно на рисунке 2, AceCryptor по-прежнему распространяет, помимо Rescoms, образцы многих различных семейств вредоносных программ, таких как SmokeLoader, программы-вымогатели STOP и Steer Vidar.
В первой половине 2023 года странами, наиболее пострадавшими от вредоносного ПО, упакованного AceCryptor, были Перу, Мексика, Египет и Турция, где в Перу (4,700) произошло наибольшее количество атак. Спам-кампании Rescoms кардинально изменили эту статистику во второй половине года. Как видно на рисунке 3, вредоносное ПО, упакованное AceCryptor, затронуло в основном европейские страны. Безусловно, наиболее пострадавшей страной является Польша, где ESET предотвратила более 26,000 1 атак; за ней следуют Украина, Испания и Сербия. Стоит отметить, что в каждой из этих стран продукты ESET предотвратили больше атак, чем в наиболее пострадавшей стране в первом полугодии 2023 года — Перу.
Образцы AceCryptor, которые мы наблюдали во втором полугодии, часто содержали в качестве полезной нагрузки два семейства вредоносных программ: Rescoms и SmokeLoader. Всплеск в Украине был вызван SmokeLoader. Этот факт уже упоминался СНБО Украины. С другой стороны, в Польше, Словакии, Болгарии и Сербии повышенная активность была вызвана AceCryptor, содержащим Rescoms в качестве конечной полезной нагрузки.
Рескомс-кампании
В первой половине 2023 года мы видели в нашей телеметрии менее ста инцидентов с образцами AceCryptor с Rescom внутри. Во второй половине года Rescoms стал самым распространенным семейством вредоносных программ, упакованных AceCryptor, с более чем 32,000 4 обращений. Более половины этих попыток произошло в Польше, за ней следуют Сербия, Испания, Болгария и Словакия (рис. XNUMX).
Кампании в Польше
Благодаря телеметрии ESET нам удалось наблюдать восемь крупных спам-кампаний, направленных на Польшу, во втором полугодии 2 года. Как видно на рисунке 2023, большинство из них произошло в сентябре, но были также кампании в августе и декабре.
Всего за этот период ESET зарегистрировала в Польше более 26,000 2 таких атак. Все спам-кампании были нацелены на предприятия в Польше, и все электронные письма имели очень схожие темы о предложениях BXNUMXB для компаний-жертв. Чтобы выглядеть максимально правдоподобно, злоумышленники включили в спам-письма следующие уловки:
- Адреса электронной почты, на которые рассылались спам-сообщения с поддельных доменов других компаний. Злоумышленники использовали другой TLD, меняли буквы в названии компании или порядок слов в случае, если название компании состоит из нескольких слов (этот прием известен как тайпсквоттинг).
- Наиболее примечательно то, что задействовано несколько кампаний. компромисс деловой почты – злоумышленники использовали ранее скомпрометированные учетные записи электронной почты других сотрудников компании для рассылки спама. Таким образом, даже если потенциальная жертва искала обычные красные флажки, их просто не было, и электронное письмо выглядело максимально законным.
Злоумышленники провели исследование и использовали существующие названия польских компаний и даже существующие имена сотрудников/владельцев и контактную информацию при подписании этих электронных писем. Это было сделано для того, чтобы в случае, если жертва попытается ввести в Google имя отправителя, поиск будет успешным, что может привести к открытию вредоносного вложения.
- Содержание спам-сообщений в некоторых случаях было проще, но во многих случаях (как в примере на рис. 6) было весьма сложным. Особенно опасными следует считать эти более сложные версии, поскольку они отклоняются от стандартного образца общего текста, который часто пронизан грамматическими ошибками.
Электронное письмо, показанное на рисунке 6, содержит сообщение, за которым следует информация об обработке личной информации, выполняемой предполагаемым отправителем, и возможность «получить доступ к содержимому ваших данных, а также право исправлять, удалять, ограничивать ограничения на обработку, право на передачу данных». право подать возражение и право подать жалобу в надзорный орган». Само сообщение можно перевести так:
Уважаемые господа,
Я Сильвестр [отредактировано] из [отредактировано]. Вашу компанию нам порекомендовал деловой партнер. Пожалуйста, укажите прилагаемый список заказов. Также сообщите нам об условиях оплаты.
Мы с нетерпением ждем вашего ответа и дальнейшего обсуждения.
-
С наилучшими пожеланиями,
Вложения во всех кампаниях выглядели примерно одинаково (рис. 7). Электронные письма содержали прикрепленный архив или файл ISO с названием «предложение/запрос» (конечно, на польском языке), в некоторых случаях также сопровождавшийся номером заказа. Этот файл содержал исполняемый файл AceCryptor, который распаковывал и запускал Rescoms.
Основываясь на поведении вредоносного ПО, мы предполагаем, что целью этих кампаний было получение учетных данных электронной почты и браузера и, таким образом, получение первоначального доступа к целевым компаниям. Хотя неизвестно, были ли собраны учетные данные группы, которая осуществила эти атаки, или эти украденные учетные данные будут позже проданы другим злоумышленникам, несомненно, что успешный взлом открывает возможность для дальнейших атак, особенно со стороны популярных в настоящее время атаки программ-вымогателей.
Важно отметить, что Rescoms RAT можно купить; поэтому многие субъекты угроз используют его в своих операциях. Эти кампании связаны не только сходством целей, структурой вложений, текстом электронного письма или приемами и приемами, используемыми для обмана потенциальных жертв, но и некоторыми менее очевидными свойствами. В самом вредоносном ПО нам удалось обнаружить артефакты (например, идентификатор лицензии Rescoms), которые связывают эти кампании вместе, показывая, что многие из этих атак были осуществлены одним злоумышленником.
Кампании в Словакии, Болгарии и Сербии
В те же периоды времени, что и кампании в Польше, телеметрия ESET также зарегистрировала текущие кампании в Словакии, Болгарии и Сербии. Эти кампании также в основном нацелены на местные компании, и мы даже можем найти артефакты в самом вредоносном ПО, связывающие эти кампании с тем же злоумышленником, который проводил кампании в Польше. Единственное, что изменилось, это, конечно же, язык, используемый в спам-сообщениях, чтобы он подходил для этих конкретных стран.
Кампании в Испании
Помимо ранее упомянутых кампаний, в Испании также наблюдался всплеск спам-сообщений с Rescoms в качестве конечной нагрузки. Несмотря на то, что мы можем подтвердить, что по крайней мере одна из кампаний была проведена тем же злоумышленником, что и в предыдущих случаях, другие кампании следовали несколько иной схеме. Более того, даже артефакты, которые были одинаковыми в предыдущих случаях, различались, и поэтому мы не можем заключить, что кампании в Испании произошли из одного и того же места.
Заключение
Во второй половине 2023 года мы обнаружили изменения в использовании AceCryptor — популярного шифровальщика, используемого множеством злоумышленников для упаковки многих семейств вредоносного ПО. Несмотря на то, что распространенность некоторых семейств вредоносных программ, таких как RedLine Stealer, снизилась, другие злоумышленники начали использовать их или использовали еще больше в своей деятельности, и AceCryptor по-прежнему набирает силу. В этих кампаниях AceCryptor использовался для нападения на несколько европейских стран и для извлечения информации. или получить первоначальный доступ к нескольким компаниям. Вредоносное ПО в ходе этих атак распространялось в спам-сообщениях, которые в некоторых случаях были весьма убедительными; иногда спам даже рассылался с законных, но злоупотребляемых учетных записей электронной почты. Поскольку открытие вложений из таких писем может иметь серьезные последствия для вас или вашей компании, мы советуем вам знать, что вы открываете, и использовать надежное программное обеспечение для обеспечения безопасности конечных точек, способное обнаружить вредоносное ПО.
По любым вопросам о наших исследованиях, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу угрозаintel@eset.com.
ESET Research предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.
МНК
Полный список индикаторов компрометации (IoC) можно найти в нашем Репозиторий GitHub.
Файлы
SHA-1 |
Имя файла |
обнаружение |
Описание |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Криптик.HVOB |
Вредоносное вложение в результате спам-кампании, проведенной в Сербии в декабре 2023 года. |
7DB6780A1E09AEC6146E |
запытание.7z |
Win32/Kryptik.HUNX |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Вредоносное вложение в результате спам-кампании, проведенной в Польше и Болгарии в сентябре 2023 года. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Вредоносное вложение в результате спам-кампании, проведенной в Сербии в сентябре 2023 года. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Криптик.ХУПК |
Вредоносное вложение в результате спам-кампании, проведенной в Болгарии в сентябре 2023 года. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Криптик.HUMI |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в августе 2023 года. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Вредоносное вложение в результате спам-кампании, проведенной в Сербии в августе 2023 года. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Вредоносное вложение в результате спам-кампании, проведенной в Болгарии в августе 2023 года. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Рескомс.Б |
Вредоносное вложение в результате спам-кампании, проведенной в Словакии в августе 2023 года. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Рескомс.Б |
Вредоносное вложение в результате спам-кампании, проведенной в Болгарии в декабре 2023 года. |
AF021E767E68F6CE1D20 |
Запытание офертове.7z |
Win32/Kryptik.HUQF |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года. |
D2FF84892F3A4E4436BE |
Замовение_ andre.7z |
Win32/Криптик.HUOZ |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года. |
ДБ87АА88F358D9517EEB |
20030703_S1002.iso |
Win32/Криптик.HUNI |
Вредоносное вложение в результате спам-кампании, проведенной в Сербии в сентябре 2023 года. |
EF2106A0A40BB5C1A74A |
Замовение_830.iso |
Win32/Криптик.HVOB |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в декабре 2023 года. |
FAD97EC6447A699179B0 |
lista zmówień i szczegółowe zdjęcia.arj |
Win32/Криптик.ХУПК |
Вредоносное вложение в результате спам-кампании, проведенной в Польше в сентябре 2023 года. |
FB8F64D2FEC152D2D135 |
Педидо.iso |
Win32/Kryptik.HUMF |
Вредоносное вложение в результате спам-кампании, проведенной в Испании в августе 2023 года. |
Техники MITER ATT & CK
Эта таблица была построена с использованием версия 14 каркаса MITER ATT & CK.
тактика |
ID |
Имя |
Описание |
разведывательный |
Сбор информации о личности жертвы: адреса электронной почты |
Адреса электронной почты и контактная информация (купленные или собранные из общедоступных источников) использовались в фишинговых кампаниях, нацеленных на компании во многих странах. |
|
Развитие ресурсов |
Взлом учетных записей: учетные записи электронной почты |
Злоумышленники использовали скомпрометированные учетные записи электронной почты для рассылки фишинговых писем в рамках спам-кампаний, чтобы повысить доверие к спам-сообщениям. |
|
Получить возможности: вредоносное ПО |
Злоумышленники купили и использовали AceCryptor и Rescoms для фишинговых кампаний. |
||
Первоначальный доступ |
Фишинг |
Злоумышленники использовали фишинговые сообщения с вредоносными вложениями, чтобы скомпрометировать компьютеры и украсть информацию у компаний во многих европейских странах. |
|
Фишинг: Целевое фишинговое вложение |
Злоумышленники использовали целевые фишинговые сообщения, чтобы взломать компьютеры и украсть информацию у компаний во многих европейских странах. |
||
Типы |
Пользовательское выполнение: вредоносный файл |
Злоумышленники полагались на то, что пользователи открывают и запускают вредоносные файлы с вредоносным ПО, упакованным AceCryptor. |
|
Доступ к учетным данным |
Учетные данные из хранилищ паролей: Учетные данные из веб-браузеров |
Злоумышленники пытались украсть учетные данные из браузеров и почтовых клиентов. |
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :является
- :нет
- :куда
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- в состоянии
- О нас
- злоупотреблять
- доступ
- в сопровождении
- По
- Учетные записи
- через
- активно
- деятельность
- актеры
- адреса
- консультировать
- пострадавших
- После
- Все
- утверждаемый
- почти
- уже
- причислены
- am
- an
- и
- Андре
- Другой
- любой
- кроме
- APT
- архив
- МЫ
- около
- AS
- предполагать
- At
- нападки
- попытки
- Август
- доступен
- в среднем
- знать
- B2B
- основанный
- BE
- стали
- , так как:
- было
- поведение
- за
- заблокировал
- купил
- браузер
- браузеры
- построенный
- в Болгарии.
- бизнес
- бизнес
- но
- by
- Каас
- Кампания
- Кампании
- CAN
- не могу
- возможности
- проводятся
- случаев
- случаев
- вызванный
- определенный
- цепь
- изменение
- менялась
- изменения
- выбор
- клиентов
- ближе
- COM
- сочетание
- Компании
- Компания
- сравнить
- сравнение
- жалоба
- комплексный
- скомпрометированы
- Ослабленный
- компьютеры
- вывод
- подтвердить
- подключенный
- Последствия
- считается
- обращайтесь
- содержащегося
- содержит
- содержание
- продолжающийся
- вопреки
- может
- страны
- страна
- "Курс"
- ПОЛНОМОЧИЯ
- Полномочия
- Доверие
- заслуживающий доверия
- В настоящее время
- ежедневно
- опасно
- данным
- Декабрь
- Отклонить
- снижение
- обнаруживать
- обнаруженный
- отклоняться
- DID
- различный
- обсуждается
- обсуждение
- распределенный
- доменов
- сделанный
- двойной
- драматично
- упал
- два
- в течение
- e
- каждый
- Египет
- 8
- или
- Разрабатывать
- Писем
- сотрудников
- Конечная точка
- Защита конечных точек
- особенно
- Европейская кухня
- европейские страны
- Даже
- пример
- выполнение
- существующий
- опытные
- объяснение
- извлечение
- факт
- семей
- семья
- далеко
- меньше
- фигура
- Файл
- Файлы
- окончательный
- Найдите
- First
- Флаги
- следует
- после
- Что касается
- вперед
- найденный
- Рамки
- от
- далее
- Более того
- Gain
- собранный
- цель
- будет
- большой
- величайший
- группы
- было
- Половина
- рука
- происходить
- произошло
- Есть
- Хиты
- Как
- HTTPS
- сто
- i
- ID
- Личность
- if
- изображение
- важную
- in
- В том числе
- включенный
- Увеличение
- расширились
- повышение
- показания
- индикаторы
- наделяют информацией
- информация
- начальный
- Запросы
- внутри
- Интеллекта
- в
- вовлеченный
- ISO
- IT
- саму трезвость
- JPEG
- всего
- хранение
- известный
- язык
- новее
- запустили
- запуск
- вести
- наименее
- законный
- Меньше
- письмо
- Лицензия
- такое как
- ОГРАНИЧЕНИЯ
- линий
- Список
- локальным
- посмотреть
- смотрел
- Низкий
- в основном
- Большинство
- сделать
- злонамеренный
- вредоносных программ
- многих
- массивный
- упомянутый
- упоминая
- сообщение
- Сообщения
- Мексика
- может быть
- ошибки
- БОЛЕЕ
- самых
- Самые популярные
- в основном
- перемещение
- скользящей средней
- много
- с разными
- имя
- Названный
- имена
- никогда
- Примечательно
- номер
- наблюдать
- получать
- Очевидный
- of
- Предложения
- .
- on
- ONE
- постоянный
- только
- открытый
- открытие
- Откроется
- операционный
- Операционный отдел
- or
- заказ
- порожденный
- Другое
- наши
- внешний
- за
- Упаковывать
- упакованный
- страница
- особый
- партнер
- Пароль
- шаблон
- оплата
- Люди
- период
- периодов
- личного
- Перу
- фишинг
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- пунктов
- Польша
- Польский
- Популярное
- возможности,
- возможность
- возможное
- потенциал
- распространенность
- превалирующий
- предотвратить
- предыдущий
- предварительно
- частная
- обработка
- Продукция
- видный
- свойства
- защищенный
- обеспечивать
- публично
- опубликованный
- вполне
- цену
- повышение
- вымогателей
- Атаки вымогателей
- RAT
- Сырье
- причина
- разумный
- Управление по борьбе с наркотиками (DEA)
- Red
- Красные флаги
- отредактированный
- С уважением
- зарегистрированный
- складская
- Отчеты
- исследованиям
- ответ
- Ограничения
- в результате
- выявление
- пронизана
- аттракционы
- правую
- s
- то же
- видел
- Поиск
- Во-вторых
- безопасность
- видел
- Отправить
- отправитель
- отправка
- послать
- сентябрь
- сербия
- обслуживание
- Услуги
- тяжелый
- сдвиг
- должен
- показывать
- показ
- показанный
- значительный
- существенно
- подписание
- аналогичный
- простой
- с
- Основано в 2016
- Сэр
- So
- Software
- проданный
- некоторые
- иногда
- в некотором роде
- Источники
- Испания
- спам
- конкретный
- шип
- шипы
- Распространение
- стандарт
- и политические лидеры
- Область
- статистика
- По-прежнему
- украли
- Stop
- остановившийся
- хранить
- магазины
- сильный
- Структура
- предмет
- успешный
- такие
- внезапный
- подходящее
- возникает
- ТАБЛИЦЫ
- цель
- целевое
- направлены
- направлена против
- техника
- снижения вреда
- десятки
- terms
- текст
- чем
- который
- Ассоциация
- их
- Их
- Там.
- Эти
- они
- задача
- этой
- те
- хоть?
- угроза
- актеры угрозы
- Таким образом
- TIE
- время
- Сроки
- в
- вместе
- Всего
- перевод
- Тенденции
- пыталась
- утроить
- Турции
- два
- Украина
- Украина
- Неожиданный
- созданного
- неизвестный
- us
- Применение
- использование
- используемый
- пользователей
- через
- обычный
- Огромная
- версии
- очень
- Жертва
- жертвы
- Войти
- законопроект
- волны
- Путь..
- we
- Web
- ЧТО Ж
- известный
- были
- Что
- когда
- будь то
- который
- в то время как
- КТО
- чья
- ширина
- Дикий
- без
- Word
- по всему миру
- стоимость
- бы
- год
- Ты
- ВАШЕ
- зефирнет