TeslaGun готов отразить новую волну бэкдор-кибератак

Была обнаружена недавно обнаруженная панель кибератак под названием TeslaGun, используемая Evil Corp для запуска бэкдор-кампаний ServHelper.

Данные, полученные в результате анализа, проведенного командой Prodraft Threat Intelligence (PTI), показывают, что банда вымогателей Evil Corp (также известная как TA505 или UNC2165, а также полдюжины других ярких имен для отслеживания) использовала TeslaGun для проведения массовых фишинговых кампаний и целевых кампаний против более более 8,000 различных организаций и частных лиц. Большинство целей находилось в США, на долю которых пришлось более 3,600 жертв, а за их пределами были разбросаны по всему миру.

Продолжается расширение вредоносного ПО бэкдора ServHelper, давно существующего и постоянно обновляемого пакета, который существует как минимум с 2019 года. По данным отчет от Cisco Talos, вызванный такими механизмами, как поддельные установщики и связанные с ними вредоносные программы-установщики, такие как Raccoon и Amadey. 

Совсем недавно, информация об угрозах от Trellix В прошлом месяце сообщалось, что недавно был обнаружен бэкдор ServHelper, сбрасывающий в системы скрытые криптомайнеры.

Отчет PTI, выпущенный во вторник, углубляется в технические особенности TeslaGun и предлагает некоторые детали и советы, которые могут помочь предприятиям двигаться вперед с важными мерами противодействия некоторым из преобладающих сегодня тенденций бэкдорных кибератак.

Бэкдор-атаки, которые обходят механизмы аутентификации и незаметно обеспечивают постоянство в корпоративных системах, являются одними из самых смущающих для защитников кибербезопасности. Это связано с тем, что эти атаки крайне сложно обнаружить или предотвратить с помощью стандартных мер безопасности. 

Злоумышленники с бэкдора диверсифицируют свои атакующие активы

Исследователи PTI заявили, что в ходе своих расследований они наблюдали широкий спектр различных профилей жертв и кампаний, подтверждая предыдущие исследования, которые показали, что атаки ServHelper выслеживают жертв в различных одновременных кампаниях. Это фирменная модель атаки, заключающаяся в создании широкой сети оппортунистических хитов.

«Один экземпляр панели управления TeslaGun содержит несколько записей кампании, представляющих различные методы доставки и данные об атаках», — поясняется в отчете. «Более новые версии вредоносного ПО кодируют эти различные кампании как идентификаторы кампаний».

Но киберпреступники будут активно профилировать жертв

В то же время TeslaGun содержит множество доказательств того, что злоумышленники составляют профили жертв, делают подробные записи в некоторых моментах и ​​проводят целевые бэкдор-атаки.

«Команда PTI заметила, что главная панель панели TeslaGun содержит комментарии, прикрепленные к записям жертв. В этих записях показаны данные об устройстве жертвы, такие как процессор, графический процессор, размер оперативной памяти и скорость подключения к Интернету», — говорится в отчете, поясняя, что это указывает на нацеленность на возможности криптомайнинга. «С другой стороны, согласно комментариям жертв, становится ясно, что TA505 активно ищет пользователей онлайн-банкинга или розничной торговли, включая криптокошельки и учетные записи электронной коммерции».

В отчете говорится, что большинство жертв, судя по всему, работают в финансовом секторе, но эти нападения не являются исключительными.

Перепродажа — важная часть монетизации бэкдора

Способ настройки пользовательских опций панели управления предоставил исследователям много информации о «рабочем процессе и коммерческой стратегии группы», говорится в отчете. Например, некоторые параметры фильтрации были помечены как «Продать» и «Продать 2», причем у жертв в этих группах протоколы удаленного рабочего стола (RDP) были временно отключены через панель.

«Вероятно, это означает, что TA505 не сможет сразу получить прибыль от эксплуатации этих конкретных жертв», — говорится в отчете. «Вместо того, чтобы отпустить их, группа пометила RDP-соединения этих жертв для перепродажи другим киберпреступникам».

В отчете PTI говорится, что, по наблюдениям исследователей, внутренняя структура группы была «на удивление дезорганизована», но ее члены по-прежнему «тщательно следят за своими жертвами и могут демонстрировать удивительное терпение, особенно в отношении крупных жертв в финансовом секторе».

В анализе также отмечается, что сила группы заключается в ее гибкости, из-за которой ее сложно прогнозировать и обнаруживать с течением времени.

Тем не менее, злоумышленники с бэкдора не идеальны, и это может дать некоторые подсказки для специалистов по кибербезопасности, которые хотят помешать их усилиям.

«Однако группа действительно демонстрирует некоторые явные слабости. Хотя TA505 может поддерживать скрытые соединения на устройствах жертв в течение нескольких месяцев, ее члены часто необычайно шумны», — говорится в отчете. «После установки ServHelper злоумышленники TA505 могут вручную подключаться к устройствам жертвы через туннелирование RDP. Технологии безопасности, способные обнаруживать эти туннели, могут оказаться жизненно важными для перехвата и смягчения бэкдор-атак TA505».

Связанная с Россией (и находящаяся под санкциями) Корпорация Зла была одной из самых плодовитых группировок за последние пять лет. Согласно Правительство США, группа является мозговым трестом, стоящим за финансовым трояном Dridex, и связана с кампаниями, использующими такие варианты программ-вымогателей, как WastedLocker. Он также продолжает совершенствовать множество видов оружия для своего арсенала; на прошлой неделе выяснилось, что это связано с Инфекции малинового Робина.

PTI использует TA505 для отслеживания угроз и консенсус прочный но не универсально, что TA505 и Evil Corp — одна и та же группа. Отчет в прошлом месяце от Координационный центр кибербезопасности сектора здравоохранения (HC3) заявил, что «в настоящее время не поддерживает этот вывод».