Rescoms rider vågor av AceCryptor-spam

Förra året publicerade ESET en blogginlägg om AceCryptor – en av de mest populära och utbredda kryptor-som-en-tjänst (CaaS) i drift sedan 2016. För H1 2023 vi publicerade statistik från vår telemetri, enligt vilken trender från tidigare perioder fortsatte utan drastiska förändringar.

Men under H2 2023 registrerade vi en betydande förändring i hur AceCryptor används. Vi har inte bara sett och blockerat över dubbelt så många attacker i H2 2023 jämfört med H1 2023, utan vi märkte också att Rescoms (även känd som Remcos) började använda AceCryptor, vilket inte var fallet tidigare.

Den stora majoriteten av AceCryptor-packade Rescoms RAT-prover användes som en första kompromissvektor i flera spamkampanjer riktade mot europeiska länder inklusive Polen, Slovakien, Bulgarien och Serbien.

Huvudpunkterna i detta blogginlägg:

• AceCryptor fortsatte att tillhandahålla packningstjänster till tiotals mycket välkända skadliga programfamiljer under H2 2023.
• Även om AceCryptors prevalens är välkänd av säkerhetsprodukter, visar inte några tecken på nedgång: tvärtom, antalet attacker ökade avsevärt på grund av Rescoms-kampanjerna.
• AceCryptor är ett urval av hotaktörer som riktar sig mot specifika länder och mål (t.ex. företag i ett visst land).
• Under H2 2023 upptäckte ESET flera AceCryptor+Rescoms-kampanjer i europeiska länder, främst Polen, Bulgarien, Spanien och Serbien.
• Hotaktören bakom dessa kampanjer missbrukade i vissa fall komprometterade konton för att skicka skräppost för att få dem att se så trovärdiga ut som möjligt.
• Målet med spamkampanjerna var att skaffa referenser lagrade i webbläsare eller e-postklienter, vilket i händelse av en lyckad kompromiss skulle öppna möjligheter för ytterligare attacker.

AceCryptor i H2 2023

Under första halvåret 2023 skyddade ESET cirka 13,000 42,000 användare från AceCryptor-packad skadlig kod. Under andra hälften av året skedde en enorm ökning av AceCryptor-packad skadlig programvara som spreds i naturen, med våra upptäckter tredubblades, vilket resulterade i över 1 XNUMX skyddade ESET-användare över hela världen. Som kan observeras i figur XNUMX upptäckte vi flera plötsliga vågor av spridning av skadlig programvara. Dessa toppar visar flera skräppostkampanjer riktade mot europeiska länder där AceCryptor packade en Rescoms RAT (diskuterat mer i Rescoms kampanjer sektion).

Dessutom, när vi jämför det obearbetade antalet prover: under första halvåret 2023 upptäckte ESET över 23,000 2023 unika skadliga prover av AceCryptor; under andra halvan av 17,000 såg och upptäckte vi "bara" över 60 XNUMX unika prover. Även om detta kan vara oväntat finns det en rimlig förklaring efter en närmare titt på uppgifterna. Rescoms skräppostkampanjer använde samma skadliga fil(er) i e-postkampanjer som skickades till ett större antal användare, vilket ökade antalet personer som stötte på skadlig programvara, men ändå höll antalet olika filer lågt. Detta hände inte under tidigare perioder då Rescoms nästan aldrig användes i kombination med AceCryptor. En annan anledning till minskningen av antalet unika prover är för att vissa populära familjer uppenbarligen slutade (eller nästan slutade) använda AceCryptor som sin go-to CaaS. Ett exempel är skadlig programvara från Danabot som slutade använda AceCryptor; också den framstående RedLine Stealer vars användare slutade använda AceCryptor lika mycket, baserat på en minskning på mer än XNUMX % av AceCryptor-prover som innehåller den skadliga programvaran.

Som framgår av figur 2 distribuerar AceCryptor fortfarande, förutom Rescoms, prover från många olika malware-familjer, såsom SmokeLoader, STOP ransomware och Vidar stealer.

Under första halvåret 2023 var de länder som drabbades mest av skadlig programvara packad av AceCryptor Peru, Mexiko, Egypten och Türkiye, där Peru, med 4,700 3, hade det största antalet attacker. Rescoms spamkampanjer förändrade denna statistik dramatiskt under andra halvåret. Som kan ses i figur 26,000 påverkade AceCryptor-packad skadlig programvara mestadels europeiska länder. Det överlägset mest drabbade landet är Polen, där ESET förhindrade över 1 2023 attacker; detta följs av Ukraina, Spanien och Serbien. Och det är värt att nämna att i vart och ett av dessa länder förhindrade ESET-produkter fler attacker än i det mest drabbade landet i HXNUMX XNUMX, Peru.

AceCryptor-prover som vi har observerat i H2 innehöll ofta två malware-familjer som deras nyttolast: Rescoms och SmokeLoader. En topp i Ukraina orsakades av SmokeLoader. Detta faktum har redan nämnts av Ukrainas NSDC. Å andra sidan, i Polen, Slovakien, Bulgarien och Serbien orsakades den ökade aktiviteten av att AceCryptor innehöll Rescoms som en sista nyttolast.

Rescoms kampanjer

Under första halvåret 2023 såg vi i vår telemetri färre än hundra incidenter av AceCryptor-prover med Rescoms inuti. Under andra halvan av året blev Rescoms den vanligaste skadliga skadliga familjen packad av AceCryptor, med över 32,000 4 träffar. Över hälften av dessa försök skedde i Polen, följt av Serbien, Spanien, Bulgarien och Slovakien (Figur XNUMX).

Kampanjer i Polen

Tack vare ESET-telemetri har vi kunnat observera åtta betydande skräppostkampanjer riktade mot Polen under H2 2023. Som kan ses i figur 5 hände majoriteten av dem i september, men det fanns även kampanjer i augusti och december.

Totalt registrerade ESET över 26,000 2 av dessa attacker i Polen under denna period. Alla skräppostkampanjer riktade sig till företag i Polen och alla e-postmeddelanden hade väldigt liknande ämnesrader om BXNUMXB-erbjudanden för offrets företag. För att se så trovärdigt ut som möjligt införlivade angriparna följande knep i skräppostmeddelandena:

• E-postadresser som de skickade skräppost från andra företags imiterade domäner. Angripare använde en annan toppdomän, ändrade en bokstav i ett företagsnamn eller ordföljd i fallet med ett företagsnamn med flera ord (denna teknik är känd som typosquatting).
• Det mest anmärkningsvärda är att flera kampanjer är inblandade företags e-postkompromiss – angripare missbrukade tidigare komprometterade e-postkonton för andra företagsanställda för att skicka skräppost. På det här sättet, även om det potentiella offret letade efter de vanliga röda flaggorna, var de bara inte där, och e-postmeddelandet såg så legitimt ut som det kunde ha varit.

Angripare gjorde sin forskning och använde befintliga polska företagsnamn och till och med befintliga anställdas/ägarnamn och kontaktinformation när de signerade dessa e-postmeddelanden. Detta gjordes för att i fallet där ett offer försöker Googla på avsändarens namn, skulle sökningen lyckas, vilket kan leda till att de öppnar den skadliga bilagan.

• Innehållet i skräppostmeddelanden var i vissa fall enklare men i många fall (som exemplet i figur 6) ganska utarbetat. Särskilt dessa mer genomarbetade versioner bör anses vara farliga eftersom de avviker från standardmönstret för generisk text, som ofta är full av grammatiska misstag.

E-postmeddelandet som visas i figur 6 innehåller ett meddelande följt av information om behandlingen av personuppgifter som gjorts av den påstådda avsändaren och möjligheten att "åtkomst till innehållet i dina uppgifter och rätten att rätta, radera, begränsa behandlingsrestriktioner, rätt till dataöverföring , rätt att göra invändning, och rätt att framföra klagomål till tillsynsmyndigheten”. Själva meddelandet kan översättas så här:

Dear Sir,

Jag är Sylwester [redigerad] från [redigerad]. Ditt företag rekommenderades till oss av en affärspartner. Ange bifogad beställningslista. Informera oss också om betalningsvillkoren.

Vi ser fram emot ditt svar och vidare diskussion.

-

Bästa hälsningar,

Bilagor i alla kampanjer såg ganska lika ut (Figur 7). E-postmeddelanden innehöll ett bifogat arkiv eller ISO-fil med namnet offert/förfrågan (naturligtvis på polska), i vissa fall även tillsammans med ett ordernummer. Den filen innehöll en körbar AceCryptor som packade upp och startade Rescoms.

Baserat på beteendet hos skadlig programvara antar vi att målet med dessa kampanjer var att få e-post- och webbläsaruppgifter och på så sätt få initial tillgång till de riktade företagen. Även om det är okänt om uppgifterna samlades in för gruppen som utförde dessa attacker eller om de stulna uppgifterna senare skulle säljas till andra hotaktörer, är det säkert att framgångsrik kompromiss öppnar möjligheten för ytterligare attacker, särskilt från, för närvarande populära, ransomware-attacker.

Det är viktigt att konstatera att Rescoms RAT kan köpas; sålunda använder många hotaktörer det i sin verksamhet. Dessa kampanjer är inte bara kopplade till mållikhet, bilagestruktur, e-posttext eller knep och tekniker som används för att lura potentiella offer, utan också av några mindre uppenbara egenskaper. I själva skadlig programvara kunde vi hitta artefakter (t.ex. licens-ID för Rescoms) som binder samman dessa kampanjer, vilket avslöjar att många av dessa attacker utfördes av en hotaktör.

Kampanjer i Slovakien, Bulgarien och Serbien

Under samma tidsperioder som kampanjerna i Polen registrerade ESET telemetri även pågående kampanjer i Slovakien, Bulgarien och Serbien. Dessa kampanjer riktade sig också huvudsakligen till lokala företag och vi kan till och med hitta artefakter i själva skadlig programvara som knyter dessa kampanjer till samma hotaktör som utförde kampanjerna i Polen. Det enda väsentliga som förändrades var naturligtvis språket som användes i skräppostmeddelandena för att passa de specifika länderna.

Kampanjer i Spanien

Bortsett från tidigare nämnda kampanjer upplevde Spanien också en ökning av spam-e-postmeddelanden med Rescoms som den sista nyttolasten. Även om vi kan bekräfta att åtminstone en av kampanjerna genomfördes av samma hotaktör som i dessa tidigare fall, följde andra kampanjer ett något annat mönster. Dessutom skilde sig även artefakter som var desamma i tidigare fall i dessa och på grund av det kan vi inte dra slutsatsen att kampanjerna i Spanien har sitt ursprung från samma plats.

Slutsats

Under andra halvan av 2023 upptäckte vi en förändring i användningen av AceCryptor – en populär kryptor som används av flera hotaktörer för att packa många skadliga programfamiljer. Även om förekomsten av vissa skadliga programfamiljer som RedLine Stealer minskade började andra hotaktörer använda den eller använde den ännu mer för sina aktiviteter och AceCryptor är fortfarande stark. I dessa kampanjer användes AceCryptor för att rikta in sig på flera europeiska länder och för att extrahera information eller få första tillgång till flera företag. Skadlig programvara i dessa attacker distribuerades i spam-e-postmeddelanden, vilket i vissa fall var ganska övertygande; ibland skickades skräpposten till och med från legitima men missbrukade e-postkonton. Eftersom att öppna bilagor från sådana e-postmeddelanden kan få allvarliga konsekvenser för dig eller ditt företag, rekommenderar vi att du är medveten om vad du öppnar och använder pålitlig mjukvara för slutpunktssäkerhet som kan upptäcka skadlig programvara.

För eventuella frågor om vår forskning publicerad på WeLiveSecurity, vänligen kontakta oss på hotintel@eset.com.
ESET Research erbjuder privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.

IOCS

En omfattande lista över kompromissindikatorer (IoCs) finns i vår GitHub repository.

Filer

SHA-1	Filnamn	Detektering	Beskrivning
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Skadlig bilaga från spamkampanj som genomfördes i Serbien under december 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Skadlig bilaga från spamkampanj som genomfördes i Polen och Bulgarien under september 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Skadlig bilaga från skräppostkampanj som genomfördes i Serbien under september 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Skadlig bilaga från skräppostkampanj som genomfördes i Bulgarien under september 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Skadlig bilaga från spamkampanj utförd i Polen under augusti 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Skadlig bilaga från skräppostkampanj som genomfördes i Serbien under augusti 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Skadlig bilaga från skräppostkampanj som genomfördes i Bulgarien under augusti 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Skadlig bilaga från skräppostkampanj som genomfördes i Slovakien under augusti 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Skadlig bilaga från skräppostkampanj som genomfördes i Bulgarien under december 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Skadlig bilaga från skräppostkampanj som genomfördes i Serbien under september 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Skadlig bilaga från skräppostkampanj utförd i Polen under december 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Skadlig bilaga från skräppostkampanj som genomfördes i Spanien under augusti 2023.

MITER ATT & CK tekniker

Detta bord byggdes med hjälp av version 14 av MITER ATT & CK -ramverket.

Taktik	ID	Namn	Beskrivning
Spaning	T1589.002	Samla information om offeridentitet: e-postadresser	E-postadresser och kontaktinformation (antingen köpta eller samlade från allmänt tillgängliga källor) användes i nätfiskekampanjer för att rikta in sig på företag i flera länder.
Resursutveckling	T1586.002	Kompromissa konton: E-postkonton	Angripare använde äventyrade e-postkonton för att skicka nätfiske-e-postmeddelanden i skräppostkampanjer för att öka trovärdigheten för skräppost.
	T1588.001	Skaffa funktioner: Skadlig programvara	Angripare köpte och använde AceCryptor och Rescoms för nätfiskekampanjer.
Initial åtkomst	T1566	Nätfiske	Angripare använde nätfiskemeddelanden med skadliga bilagor för att äventyra datorer och stjäla information från företag i flera europeiska länder.
	T1566.001	Nätfiske: Spearphishing-bilaga	Angripare använde spearphishing-meddelanden för att äventyra datorer och stjäla information från företag i flera europeiska länder.
Utförande	T1204.002	Användarutförande: Skadlig fil	Angripare förlitade sig på att användare öppnade och lanserade skadliga filer med skadlig programvara packad av AceCryptor.
Legitimationsåtkomst	T1555.003	Inloggningsuppgifter från lösenordsbutiker: Inloggningsuppgifter från webbläsare	Angripare försökte stjäla autentiseringsinformation från webbläsare och e-postklienter.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/