Rescoms jezdi valove neželene pošte AceCryptor

Lansko leto je ESET objavil a blog objava o AceCryptorju – eden najbolj priljubljenih in razširjenih kriptorjev kot storitev (CaaS), ki deluje od leta 2016. Za prvo polletje 1 smo objavili statistiko naše telemetrije, po kateri so se trendi iz prejšnjih obdobij nadaljevali brez drastičnih sprememb.

Vendar smo v drugi polovici leta 2 zabeležili pomembno spremembo v načinu uporabe AceCryptorja. Ne samo, da smo videli in blokirali več kot dvakrat več napadov v H2023 2 v primerjavi s H2023 1, ampak smo tudi opazili, da je Rescoms (znan tudi kot Remcos) začel uporabljati AceCryptor, kar prej ni veljalo.

Velika večina vzorcev Rescoms RAT, pakiranih v AceCryptor, je bila uporabljena kot začetni kompromisni vektor v več kampanjah z neželeno pošto, ki ciljajo na evropske države, vključno s Poljsko, Slovaško, Bolgarijo in Srbijo.

Ključne točke te objave v spletnem dnevniku:

• AceCryptor je v drugi polovici leta 2 še naprej zagotavljal storitve pakiranja za desetine zelo znanih družin zlonamerne programske opreme.
• Čeprav je AceCryptor dobro poznan po varnostnih izdelkih, razširjenost AceCryptorja ne kaže znakov upadanja: ravno nasprotno, število napadov se je zaradi kampanj Rescoms znatno povečalo.
• AceCryptor je kriptor po izbiri akterjev groženj, ki ciljajo na določene države in cilje (npr. podjetja v določeni državi).
• V drugi polovici leta 2 je ESET zaznal več kampanj AceCryptor+Rescoms v evropskih državah, predvsem na Poljskem, v Bolgariji, Španiji in Srbiji.
• Akter grožnje za temi kampanjami je v nekaterih primerih zlorabil ogrožene račune za pošiljanje vsiljene e-pošte, da bi bili videti čim bolj verodostojni.
• Cilj spam kampanj je bil pridobiti poverilnice, shranjene v brskalnikih ali e-poštnih odjemalcih, ki bi v primeru uspešnega kompromisa odprle možnosti za nadaljnje napade.

AceCryptor v drugi polovici leta 2

V prvi polovici leta 2023 je ESET zaščitil približno 13,000 uporabnikov pred zlonamerno programsko opremo, polno AceCryptor. V drugi polovici leta je prišlo do ogromnega povečanja zlonamerne programske opreme, ki se je širila v naravi, pri čemer so se naša odkritja potrojila, kar je povzročilo več kot 42,000 zaščitenih uporabnikov ESET-a po vsem svetu. Kot je razvidno iz slike 1, smo zaznali več nenadnih valov širjenja zlonamerne programske opreme. Ti skoki kažejo več kampanj z neželeno pošto, ciljanih na evropske države, v katerih je AceCryptor spakiral Rescoms RAT (več o tem v Rescoms kampanje odsek).

Poleg tega, ko primerjamo neobdelano število vzorcev: v prvi polovici leta 2023 je ESET odkril več kot 23,000 edinstvenih zlonamernih vzorcev AceCryptorja; v drugi polovici leta 2023 smo videli in zaznali »le« več kot 17,000 edinstvenih vzorcev. Čeprav je to morda nepričakovano, je po natančnejšem pregledu podatkov razumna razlaga. Kampanje z neželeno pošto Rescoms so uporabile iste zlonamerne datoteke v e-poštnih kampanjah, poslanih večjemu številu uporabnikov, s čimer se je povečalo število ljudi, ki so naleteli na zlonamerno programsko opremo, vendar je število različnih datotek še vedno nizko. To se v prejšnjih obdobjih ni dogajalo, saj Rescoms skoraj nikoli ni bil uporabljen v kombinaciji z AceCryptorjem. Drug razlog za zmanjšanje števila edinstvenih vzorcev je, ker so nekatere priljubljene družine očitno prenehale (ali skoraj prenehale) uporabljati AceCryptor kot svoj CaaS. Primer je zlonamerna programska oprema Danabot, ki je prenehala uporabljati AceCryptor; tudi ugledni RedLine Stealer, katerega uporabniki so prenehali toliko uporabljati AceCryptor, na podlagi več kot 60-odstotnega zmanjšanja vzorcev AceCryptorja, ki vsebujejo to zlonamerno programsko opremo.

Kot je prikazano na sliki 2, AceCryptor poleg Rescoms še vedno distribuira vzorce iz številnih različnih družin zlonamerne programske opreme, kot so SmokeLoader, STOP ransomware in Vidar stealer.

V prvi polovici leta 2023 so bile države, ki jih je zlonamerna programska oprema, ki jo je zapakiral AceCryptor, najbolj prizadeta Peru, Mehika, Egipt in Turčija, kjer je imel Peru s 4,700 največje število napadov. Spam kampanje Rescoms so te statistike močno spremenile v drugi polovici leta. Kot je razvidno iz slike 3, je zlonamerna programska oprema, ki vsebuje AceCryptor, prizadela večinoma evropske države. Daleč najbolj prizadeta država je Poljska, kjer je ESET preprečil več kot 26,000 napadov; sledijo Ukrajina, Španija in Srbija. Omeniti velja, da so v vsaki od teh držav izdelki ESET preprečili več napadov kot v najbolj prizadeti državi v prvi polovici leta 1, Peruju.

Vzorci AceCryptor, ki smo jih opazili v H2, so pogosto vsebovali dve družini zlonamerne programske opreme kot svoj tovor: Rescoms in SmokeLoader. Skok v Ukrajini je povzročil SmokeLoader. To dejstvo je bilo že omenjeno s strani NSDC Ukrajine. Po drugi strani pa je na Poljskem, Slovaškem, v Bolgariji in Srbiji povečano aktivnost povzročil AceCryptor, ki vsebuje Rescoms kot končni tovor.

Rescoms kampanje

V prvi polovici leta 2023 smo v naši telemetriji videli manj kot sto primerov vzorcev AceCryptor z Rescoms v sebi. V drugi polovici leta je Rescoms postal najpogostejša družina zlonamerne programske opreme, ki jo je pakiral AceCryptor, z več kot 32,000 zadetki. Več kot polovica teh poskusov se je zgodila na Poljskem, sledijo pa ji Srbija, Španija, Bolgarija in Slovaška (slika 4).

Kampanje na Poljskem

Zahvaljujoč telemetriji ESET smo lahko v drugi polovici leta 2 opazili osem pomembnih kampanj z neželeno pošto, ki so ciljale na Poljsko. Kot je razvidno iz slike 2023, se jih je večina zgodila septembra, bile pa so tudi kampanje avgusta in decembra.

Skupno je ESET v tem obdobju na Poljskem zabeležil več kot 26,000 teh napadov. Vse kampanje z neželeno pošto so bile usmerjene na podjetja na Poljskem in vsa e-poštna sporočila so imela zelo podobne zadeve o ponudbah B2B za podjetja žrtve. Da bi bili videti čim bolj verodostojni, so napadalci v neželeno pošto vključili naslednje trike:

• E-poštni naslovi, s katerih so pošiljali neželeno pošto iz imitiranih domen drugih podjetij. Napadalci so uporabili drugo TLD, spremenili črko v imenu podjetja ali besedni red v primeru večbesednega imena podjetja (ta tehnika je znana kot typosquatting).
• Najbolj omembe vredno je, da je vključenih več kampanj kompromis s poslovno e-pošto – napadalci so zlorabili predhodno ogrožene e-poštne račune drugih zaposlenih v podjetju za pošiljanje vsiljene e-pošte. Na ta način, tudi če je morebitna žrtev iskala običajne rdeče zastavice, jih preprosto ni bilo, e-pošta pa je bila videti tako legitimna, kot je lahko.

Napadalci so opravili raziskavo in pri podpisovanju teh e-poštnih sporočil uporabili obstoječa imena poljskih podjetij in celo obstoječa imena zaposlenih/lastnikov ter kontaktne podatke. To je bilo narejeno tako, da bi bilo iskanje uspešno v primeru, ko bi žrtev poskušala v Googlu najti pošiljateljevo ime, zaradi česar bi lahko odprla zlonamerno priponko.

• Vsebina neželene elektronske pošte je bila v nekaterih primerih enostavnejša, v mnogih primerih (kot primer na sliki 6) pa precej dodelana. Predvsem te bolj dodelane različice je treba obravnavati kot nevarne, saj odstopajo od standardnega vzorca generičnega besedila, ki je pogosto polno slovničnih napak.

E-poštno sporočilo, prikazano na sliki 6, vsebuje sporočilo, ki mu sledijo informacije o obdelavi osebnih podatkov, ki jo izvaja domnevni pošiljatelj, in možnost »dostopa do vsebine vaših podatkov ter pravica do popravka, izbrisa, omejitve omejitev obdelave, pravica do prenosa podatkov. , pravica do ugovora in pravica do vložitve pritožbe pri nadzornem organu«. Samo sporočilo lahko prevedemo takole:

Spoštovani,

Jaz sem Sylwester [redigirano] iz [redigirano]. Vaše podjetje nam je priporočil poslovni partner. Navedite priloženi seznam naročil. Obvestite nas tudi o plačilnih pogojih.

Veselimo se vašega odgovora in nadaljnje razprave.

-

S spoštovanjem,

Priponke v vseh akcijah so bile videti precej podobne (slika 7). E-poštna sporočila so vsebovala priložen arhiv ali ISO datoteko z imenom ponudba/povpraševanje (seveda v poljščini), v nekaterih primerih tudi številko naročila. Ta datoteka je vsebovala izvršljivo datoteko AceCryptor, ki je razpakirala in zagnala Rescoms.

Glede na obnašanje zlonamerne programske opreme domnevamo, da je bil cilj teh kampanj pridobiti poverilnice za e-pošto in brskalnik ter tako pridobiti začetni dostop do ciljnih podjetij. Čeprav ni znano, ali so bile poverilnice zbrane za skupino, ki je izvedla te napade, ali pa bi bile te ukradene poverilnice pozneje prodane drugim akterjem groženj, je gotovo, da uspešno ogrožanje odpira možnost za nadaljnje napade, zlasti od trenutno priljubljenih, napadi izsiljevalske programske opreme.

Pomembno je navesti, da je Rescoms RAT mogoče kupiti; zato ga številni akterji groženj uporabljajo pri svojih operacijah. Teh kampanj ne povezuje le ciljna podobnost, struktura priponk, besedilo elektronske pošte ali triki in tehnike, ki se uporabljajo za zavajanje potencialnih žrtev, temveč tudi nekatere manj očitne lastnosti. V sami zlonamerni programski opremi smo lahko našli artefakte (npr. ID licence za Rescoms), ki povezujejo te kampanje in razkrivajo, da je veliko teh napadov izvedel en akter grožnje.

Kampanje na Slovaškem, v Bolgariji in Srbiji

V istih časovnih obdobjih kot kampanje na Poljskem je telemetrija ESET zabeležila tudi tekoče kampanje na Slovaškem, v Bolgariji in Srbiji. Te kampanje so bile v glavnem usmerjene tudi na lokalna podjetja in v sami zlonamerni programski opremi lahko najdemo celo artefakte, ki te kampanje povezujejo z istim akterjem grožnje, ki je izvajal kampanje na Poljskem. Edina pomembna stvar, ki se je spremenila, je bil seveda jezik, uporabljen v neželeni e-pošti, ki je bil primeren za te določene države.

Kampanje v Španiji

Poleg prej omenjenih kampanj je Španija doživela tudi porast neželenih e-poštnih sporočil z Rescoms kot zadnjim obremenitvijo. Čeprav lahko potrdimo, da je vsaj eno od akcij izvedel isti akter grožnje kot v teh prejšnjih primerih, so druge akcije sledile nekoliko drugačnemu vzorcu. Poleg tega so se tudi artefakti, ki so bili v prejšnjih primerih enaki, v teh razlikovali in zaradi tega ne moremo sklepati, da akcije v Španiji izvirajo iz istega kraja.

zaključek

V drugi polovici leta 2023 smo zaznali premik v uporabi AceCryptorja – priljubljenega kriptorja, ki ga uporablja več akterjev groženj za pakiranje številnih družin zlonamerne programske opreme. Čeprav je razširjenost nekaterih družin zlonamerne programske opreme, kot je RedLine Stealer, upadla, so jo drugi akterji groženj začeli uporabljati ali pa so jo še bolj uporabljali za svoje dejavnosti in AceCryptor je še vedno močan. V teh kampanjah je bil AceCryptor uporabljen za ciljanje na več evropskih držav in pridobivanje informacij ali pridobite začetni dostop do več podjetij. Zlonamerna programska oprema v teh napadih je bila razposlana v neželeni elektronski pošti, ki je bila v nekaterih primerih precej prepričljiva; včasih je bila neželena pošta poslana celo z zakonitih, a zlorabljenih e-poštnih računov. Ker ima lahko odpiranje prilog iz takšnih e-poštnih sporočil resne posledice za vas ali vaše podjetje, vam svetujemo, da pazite, kaj odpirate, in uporabite zanesljivo programsko opremo za zaščito končne točke, ki lahko zazna zlonamerno programsko opremo.

Za vsa vprašanja o naši raziskavi, objavljeni na WeLiveSecurity, nas kontaktirajte na grožnjaintel@eset.com.
ESET Research ponuja zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.

IoC

Obsežen seznam kazalnikov kompromisa (IoC) je na voljo v našem GitHub repozitorij.

datoteke

SHA-1	Ime datoteke	Odkrivanje	Opis
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene v Srbiji decembra 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem septembra 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem in v Bolgariji septembra 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Zlonamerna priponka iz kampanje neželene pošte, izvedene v Srbiji septembra 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene v Bolgariji septembra 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem avgusta 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Zlonamerna priponka iz kampanje neželene pošte, izvedene v Srbiji avgusta 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene v Bolgariji avgusta 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Slovaškem avgusta 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene v Bolgariji decembra 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem septembra 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem septembra 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem septembra 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Zlonamerna priponka iz kampanje neželene pošte, izvedene v Srbiji septembra 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem decembra 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Zlonamerna priponka iz kampanje z neželeno pošto, izvedene na Poljskem septembra 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Zlonamerna priloga iz kampanje z neželeno pošto, izvedene v Španiji avgusta 2023.

Tehnike MITER ATT&CK

Ta tabela je bila izdelana z uporabo različica 14 okvira MITER ATT&CK.

Taktika	ID	Ime	Opis
Izviđanje	T1589.002	Zberite informacije o identiteti žrtve: e-poštni naslovi	E-poštni naslovi in ​​kontaktni podatki (bodisi kupljeni ali zbrani iz javno dostopnih virov) so bili uporabljeni v kampanjah z lažnim predstavljanjem za ciljanje podjetij v več državah.
Razvoj virov	T1586.002	Kompromisni računi: e-poštni računi	Napadalci so uporabili ogrožene e-poštne račune za pošiljanje lažnih e-poštnih sporočil v kampanjah z neželeno pošto, da bi povečali verodostojnost neželene e-pošte.
	T1588.001	Pridobite zmogljivosti: zlonamerna programska oprema	Napadalci so kupili in uporabili AceCryptor in Rescoms za lažno predstavljanje.
Začetni dostop	T1566	Ribarjenje	Napadalci so uporabili lažna sporočila z zlonamernimi prilogami, da so ogrozili računalnike in ukradli podatke iz podjetij v več evropskih državah.
	T1566.001	Lažno predstavljanje: priloga lažnega predstavljanja	Napadalci so s lažnimi sporočili ogrozili računalnike in ukradli podatke iz podjetij v več evropskih državah.
Izvedba	T1204.002	Uporabniška izvedba: zlonamerna datoteka	Napadalci so se zanašali na uporabnike, ki so odpirali in zaganjali zlonamerne datoteke z zlonamerno programsko opremo, ki jo je zapakiral AceCryptor.
Dostop s poverilnicami	T1555.003	Poverilnice iz shramb gesel: Poverilnice iz spletnih brskalnikov	Napadalci so poskušali ukrasti podatke o poverilnicah iz brskalnikov in e-poštnih odjemalcev.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/