Förra året publicerade ESET en blogginlägg om AceCryptor – en av de mest populära och utbredda kryptor-som-en-tjänst (CaaS) i drift sedan 2016. För H1 2023 vi publicerade statistik från vår telemetri, enligt vilken trender från tidigare perioder fortsatte utan drastiska förändringar.
Men under H2 2023 registrerade vi en betydande förändring i hur AceCryptor används. Vi har inte bara sett och blockerat över dubbelt så många attacker i H2 2023 jämfört med H1 2023, utan vi märkte också att Rescoms (även känd som Remcos) började använda AceCryptor, vilket inte var fallet tidigare.
Den stora majoriteten av AceCryptor-packade Rescoms RAT-prover användes som en första kompromissvektor i flera spamkampanjer riktade mot europeiska länder inklusive Polen, Slovakien, Bulgarien och Serbien.
Huvudpunkterna i detta blogginlägg:
- AceCryptor fortsatte att tillhandahålla packningstjänster till tiotals mycket välkända skadliga programfamiljer under H2 2023.
- Även om AceCryptors prevalens är välkänd av säkerhetsprodukter, visar inte några tecken på nedgång: tvärtom, antalet attacker ökade avsevärt på grund av Rescoms-kampanjerna.
- AceCryptor är ett urval av hotaktörer som riktar sig mot specifika länder och mål (t.ex. företag i ett visst land).
- Under H2 2023 upptäckte ESET flera AceCryptor+Rescoms-kampanjer i europeiska länder, främst Polen, Bulgarien, Spanien och Serbien.
- Hotaktören bakom dessa kampanjer missbrukade i vissa fall komprometterade konton för att skicka skräppost för att få dem att se så trovärdiga ut som möjligt.
- Målet med spamkampanjerna var att skaffa referenser lagrade i webbläsare eller e-postklienter, vilket i händelse av en lyckad kompromiss skulle öppna möjligheter för ytterligare attacker.
AceCryptor i H2 2023
Under första halvåret 2023 skyddade ESET cirka 13,000 42,000 användare från AceCryptor-packad skadlig kod. Under andra hälften av året skedde en enorm ökning av AceCryptor-packad skadlig programvara som spreds i naturen, med våra upptäckter tredubblades, vilket resulterade i över 1 XNUMX skyddade ESET-användare över hela världen. Som kan observeras i figur XNUMX upptäckte vi flera plötsliga vågor av spridning av skadlig programvara. Dessa toppar visar flera skräppostkampanjer riktade mot europeiska länder där AceCryptor packade en Rescoms RAT (diskuterat mer i Rescoms kampanjer sektion).
Dessutom, när vi jämför det obearbetade antalet prover: under första halvåret 2023 upptäckte ESET över 23,000 2023 unika skadliga prover av AceCryptor; under andra halvan av 17,000 såg och upptäckte vi "bara" över 60 XNUMX unika prover. Även om detta kan vara oväntat finns det en rimlig förklaring efter en närmare titt på uppgifterna. Rescoms skräppostkampanjer använde samma skadliga fil(er) i e-postkampanjer som skickades till ett större antal användare, vilket ökade antalet personer som stötte på skadlig programvara, men ändå höll antalet olika filer lågt. Detta hände inte under tidigare perioder då Rescoms nästan aldrig användes i kombination med AceCryptor. En annan anledning till minskningen av antalet unika prover är för att vissa populära familjer uppenbarligen slutade (eller nästan slutade) använda AceCryptor som sin go-to CaaS. Ett exempel är skadlig programvara från Danabot som slutade använda AceCryptor; också den framstående RedLine Stealer vars användare slutade använda AceCryptor lika mycket, baserat på en minskning på mer än XNUMX % av AceCryptor-prover som innehåller den skadliga programvaran.
Som framgår av figur 2 distribuerar AceCryptor fortfarande, förutom Rescoms, prover från många olika malware-familjer, såsom SmokeLoader, STOP ransomware och Vidar stealer.
Under första halvåret 2023 var de länder som drabbades mest av skadlig programvara packad av AceCryptor Peru, Mexiko, Egypten och Türkiye, där Peru, med 4,700 3, hade det största antalet attacker. Rescoms spamkampanjer förändrade denna statistik dramatiskt under andra halvåret. Som kan ses i figur 26,000 påverkade AceCryptor-packad skadlig programvara mestadels europeiska länder. Det överlägset mest drabbade landet är Polen, där ESET förhindrade över 1 2023 attacker; detta följs av Ukraina, Spanien och Serbien. Och det är värt att nämna att i vart och ett av dessa länder förhindrade ESET-produkter fler attacker än i det mest drabbade landet i HXNUMX XNUMX, Peru.
AceCryptor-prover som vi har observerat i H2 innehöll ofta två malware-familjer som deras nyttolast: Rescoms och SmokeLoader. En topp i Ukraina orsakades av SmokeLoader. Detta faktum har redan nämnts av Ukrainas NSDC. Å andra sidan, i Polen, Slovakien, Bulgarien och Serbien orsakades den ökade aktiviteten av att AceCryptor innehöll Rescoms som en sista nyttolast.
Rescoms kampanjer
Under första halvåret 2023 såg vi i vår telemetri färre än hundra incidenter av AceCryptor-prover med Rescoms inuti. Under andra halvan av året blev Rescoms den vanligaste skadliga skadliga familjen packad av AceCryptor, med över 32,000 4 träffar. Över hälften av dessa försök skedde i Polen, följt av Serbien, Spanien, Bulgarien och Slovakien (Figur XNUMX).
Kampanjer i Polen
Tack vare ESET-telemetri har vi kunnat observera åtta betydande skräppostkampanjer riktade mot Polen under H2 2023. Som kan ses i figur 5 hände majoriteten av dem i september, men det fanns även kampanjer i augusti och december.
Totalt registrerade ESET över 26,000 2 av dessa attacker i Polen under denna period. Alla skräppostkampanjer riktade sig till företag i Polen och alla e-postmeddelanden hade väldigt liknande ämnesrader om BXNUMXB-erbjudanden för offrets företag. För att se så trovärdigt ut som möjligt införlivade angriparna följande knep i skräppostmeddelandena:
- E-postadresser som de skickade skräppost från andra företags imiterade domäner. Angripare använde en annan toppdomän, ändrade en bokstav i ett företagsnamn eller ordföljd i fallet med ett företagsnamn med flera ord (denna teknik är känd som typosquatting).
- Det mest anmärkningsvärda är att flera kampanjer är inblandade företags e-postkompromiss – angripare missbrukade tidigare komprometterade e-postkonton för andra företagsanställda för att skicka skräppost. På det här sättet, även om det potentiella offret letade efter de vanliga röda flaggorna, var de bara inte där, och e-postmeddelandet såg så legitimt ut som det kunde ha varit.
Angripare gjorde sin forskning och använde befintliga polska företagsnamn och till och med befintliga anställdas/ägarnamn och kontaktinformation när de signerade dessa e-postmeddelanden. Detta gjordes för att i fallet där ett offer försöker Googla på avsändarens namn, skulle sökningen lyckas, vilket kan leda till att de öppnar den skadliga bilagan.
- Innehållet i skräppostmeddelanden var i vissa fall enklare men i många fall (som exemplet i figur 6) ganska utarbetat. Särskilt dessa mer genomarbetade versioner bör anses vara farliga eftersom de avviker från standardmönstret för generisk text, som ofta är full av grammatiska misstag.
E-postmeddelandet som visas i figur 6 innehåller ett meddelande följt av information om behandlingen av personuppgifter som gjorts av den påstådda avsändaren och möjligheten att "åtkomst till innehållet i dina uppgifter och rätten att rätta, radera, begränsa behandlingsrestriktioner, rätt till dataöverföring , rätt att göra invändning, och rätt att framföra klagomål till tillsynsmyndigheten”. Själva meddelandet kan översättas så här:
Dear Sir,
Jag är Sylwester [redigerad] från [redigerad]. Ditt företag rekommenderades till oss av en affärspartner. Ange bifogad beställningslista. Informera oss också om betalningsvillkoren.
Vi ser fram emot ditt svar och vidare diskussion.
-
Bästa hälsningar,
Bilagor i alla kampanjer såg ganska lika ut (Figur 7). E-postmeddelanden innehöll ett bifogat arkiv eller ISO-fil med namnet offert/förfrågan (naturligtvis på polska), i vissa fall även tillsammans med ett ordernummer. Den filen innehöll en körbar AceCryptor som packade upp och startade Rescoms.
Baserat på beteendet hos skadlig programvara antar vi att målet med dessa kampanjer var att få e-post- och webbläsaruppgifter och på så sätt få initial tillgång till de riktade företagen. Även om det är okänt om uppgifterna samlades in för gruppen som utförde dessa attacker eller om de stulna uppgifterna senare skulle säljas till andra hotaktörer, är det säkert att framgångsrik kompromiss öppnar möjligheten för ytterligare attacker, särskilt från, för närvarande populära, ransomware-attacker.
Det är viktigt att konstatera att Rescoms RAT kan köpas; sålunda använder många hotaktörer det i sin verksamhet. Dessa kampanjer är inte bara kopplade till mållikhet, bilagestruktur, e-posttext eller knep och tekniker som används för att lura potentiella offer, utan också av några mindre uppenbara egenskaper. I själva skadlig programvara kunde vi hitta artefakter (t.ex. licens-ID för Rescoms) som binder samman dessa kampanjer, vilket avslöjar att många av dessa attacker utfördes av en hotaktör.
Kampanjer i Slovakien, Bulgarien och Serbien
Under samma tidsperioder som kampanjerna i Polen registrerade ESET telemetri även pågående kampanjer i Slovakien, Bulgarien och Serbien. Dessa kampanjer riktade sig också huvudsakligen till lokala företag och vi kan till och med hitta artefakter i själva skadlig programvara som knyter dessa kampanjer till samma hotaktör som utförde kampanjerna i Polen. Det enda väsentliga som förändrades var naturligtvis språket som användes i skräppostmeddelandena för att passa de specifika länderna.
Kampanjer i Spanien
Bortsett från tidigare nämnda kampanjer upplevde Spanien också en ökning av spam-e-postmeddelanden med Rescoms som den sista nyttolasten. Även om vi kan bekräfta att åtminstone en av kampanjerna genomfördes av samma hotaktör som i dessa tidigare fall, följde andra kampanjer ett något annat mönster. Dessutom skilde sig även artefakter som var desamma i tidigare fall i dessa och på grund av det kan vi inte dra slutsatsen att kampanjerna i Spanien har sitt ursprung från samma plats.
Slutsats
Under andra halvan av 2023 upptäckte vi en förändring i användningen av AceCryptor – en populär kryptor som används av flera hotaktörer för att packa många skadliga programfamiljer. Även om förekomsten av vissa skadliga programfamiljer som RedLine Stealer minskade började andra hotaktörer använda den eller använde den ännu mer för sina aktiviteter och AceCryptor är fortfarande stark. I dessa kampanjer användes AceCryptor för att rikta in sig på flera europeiska länder och för att extrahera information eller få första tillgång till flera företag. Skadlig programvara i dessa attacker distribuerades i spam-e-postmeddelanden, vilket i vissa fall var ganska övertygande; ibland skickades skräpposten till och med från legitima men missbrukade e-postkonton. Eftersom att öppna bilagor från sådana e-postmeddelanden kan få allvarliga konsekvenser för dig eller ditt företag, rekommenderar vi att du är medveten om vad du öppnar och använder pålitlig mjukvara för slutpunktssäkerhet som kan upptäcka skadlig programvara.
För eventuella frågor om vår forskning publicerad på WeLiveSecurity, vänligen kontakta oss på hotintel@eset.com.
ESET Research erbjuder privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.
IOCS
En omfattande lista över kompromissindikatorer (IoCs) finns i vår GitHub repository.
Filer
SHA-1 |
Filnamn |
Detektering |
Beskrivning |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
Skadlig bilaga från spamkampanj som genomfördes i Serbien under december 2023. |
7DB6780A1E09AEC6146E |
zapytanie.7z |
Win32/Kryptik.HUNX |
Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Skadlig bilaga från spamkampanj som genomfördes i Polen och Bulgarien under september 2023. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Skadlig bilaga från skräppostkampanj som genomfördes i Serbien under september 2023. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
Skadlig bilaga från skräppostkampanj som genomfördes i Bulgarien under september 2023. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
Skadlig bilaga från spamkampanj utförd i Polen under augusti 2023. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Skadlig bilaga från skräppostkampanj som genomfördes i Serbien under augusti 2023. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Skadlig bilaga från skräppostkampanj som genomfördes i Bulgarien under augusti 2023. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
Skadlig bilaga från skräppostkampanj som genomfördes i Slovakien under augusti 2023. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
Skadlig bilaga från skräppostkampanj som genomfördes i Bulgarien under december 2023. |
AF021E767E68F6CE1D20 |
zapytanie ofertowe.7z |
Win32/Kryptik.HUQF |
Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023. |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023. |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
Skadlig bilaga från skräppostkampanj som genomfördes i Serbien under september 2023. |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
Skadlig bilaga från skräppostkampanj utförd i Polen under december 2023. |
FAD97EC6447A699179B0 |
lista zamówień i szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
Skadlig bilaga från skräppostkampanj utförd i Polen under september 2023. |
FB8F64D2FEC152D2D135 |
Pedido.iso |
Win32/Kryptik.HUMF |
Skadlig bilaga från skräppostkampanj som genomfördes i Spanien under augusti 2023. |
MITER ATT & CK tekniker
Detta bord byggdes med hjälp av version 14 av MITER ATT & CK -ramverket.
Taktik |
ID |
Namn |
Beskrivning |
Spaning |
Samla information om offeridentitet: e-postadresser |
E-postadresser och kontaktinformation (antingen köpta eller samlade från allmänt tillgängliga källor) användes i nätfiskekampanjer för att rikta in sig på företag i flera länder. |
|
Resursutveckling |
Kompromissa konton: E-postkonton |
Angripare använde äventyrade e-postkonton för att skicka nätfiske-e-postmeddelanden i skräppostkampanjer för att öka trovärdigheten för skräppost. |
|
Skaffa funktioner: Skadlig programvara |
Angripare köpte och använde AceCryptor och Rescoms för nätfiskekampanjer. |
||
Initial åtkomst |
Nätfiske |
Angripare använde nätfiskemeddelanden med skadliga bilagor för att äventyra datorer och stjäla information från företag i flera europeiska länder. |
|
Nätfiske: Spearphishing-bilaga |
Angripare använde spearphishing-meddelanden för att äventyra datorer och stjäla information från företag i flera europeiska länder. |
||
Utförande |
Användarutförande: Skadlig fil |
Angripare förlitade sig på att användare öppnade och lanserade skadliga filer med skadlig programvara packad av AceCryptor. |
|
Legitimationsåtkomst |
Inloggningsuppgifter från lösenordsbutiker: Inloggningsuppgifter från webbläsare |
Angripare försökte stjäla autentiseringsinformation från webbläsare och e-postklienter. |
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :är
- :inte
- :var
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- Able
- Om oss
- missbrukas
- tillgång
- åtföljas
- Enligt
- konton
- tvärs
- aktiviteter
- aktivitet
- aktörer
- adresser
- råda
- påverkas
- Efter
- Alla
- påstådda
- nästan
- redan
- också
- am
- an
- och
- andre
- Annan
- vilken som helst
- isär
- APT
- arkiv
- ÄR
- runt
- AS
- utgå ifrån
- At
- Attacker
- Försök
- AUGUSTI
- tillgänglig
- genomsnitt
- medveten
- B2B
- baserat
- BE
- blev
- därför att
- varit
- beteende
- bakom
- blockerad
- köpt
- webbläsare
- webbläsare
- byggt
- Bulgarien
- företag
- företag
- men
- by
- CAAS
- Kampanj
- Kampanjer
- KAN
- kan inte
- kapacitet
- genom
- Vid
- fall
- orsakas
- vissa
- kedja
- byta
- ändrats
- Förändringar
- val
- klienter
- närmare
- COM
- kombination
- Företag
- företag
- jämföra
- jämförelse
- klagomål
- omfattande
- kompromiss
- Äventyras
- datorer
- avslutar
- Bekräfta
- anslutna
- Konsekvenser
- anses
- kontakta
- innehöll
- innehåller
- innehåll
- fortsatte
- motsats
- kunde
- länder
- land
- Kurs
- CREDENTIAL
- referenser
- Trovärdighet
- trovärdig
- För närvarande
- dagligen
- Dangerous
- datum
- December
- Nedgång
- minskning
- upptäcka
- detekterad
- avvika
- DID
- olika
- diskuteras
- diskussion
- distribueras
- domäner
- gjort
- dubbla
- dramatiskt
- tappade
- grund
- under
- e
- varje
- Egypten
- åtta
- antingen
- Utveckla
- e
- anställda
- Slutpunkt
- Slutpunktsäkerhet
- speciellt
- Giltigt körkort
- Europeiska länder
- Även
- exempel
- utförande
- befintliga
- erfaren
- förklaring
- extrahera
- Faktum
- familjer
- familj
- långt
- färre
- Figur
- Fil
- Filer
- slutlig
- hitta
- Förnamn
- flaggorna
- följt
- efter
- För
- Framåt
- hittade
- Ramverk
- från
- ytterligare
- Vidare
- Få
- samlade ihop
- Målet
- kommer
- större
- störst
- Grupp
- hade
- Hälften
- sidan
- hända
- hänt
- Har
- träffar
- Hur ser din drömresa ut
- HTTPS
- hundra
- i
- ID
- Identitet
- if
- bild
- med Esport
- in
- Inklusive
- Inkorporerad
- Öka
- ökat
- ökande
- indikationer
- indikatorer
- underrätta
- informationen
- inledande
- förfrågningar
- inuti
- Intelligens
- in
- involverade
- ISO
- IT
- sig
- jpeg
- bara
- hålla
- känd
- språk
- senare
- lanserades
- lansera
- leda
- t minst
- legitim
- mindre
- brev
- Licens
- tycka om
- BEGRÄNSA
- rader
- Lista
- lokal
- se
- såg
- Låg
- huvudsakligen
- Majoritet
- göra
- skadlig
- malware
- många
- massiv
- nämnts
- nämna
- meddelande
- meddelanden
- Mexico
- kanske
- misstag
- mer
- mest
- Mest populär
- för det mesta
- rörliga
- glidande medelvärde
- mycket
- multipel
- namn
- Som heter
- namn
- aldrig
- anmärkningsvärd
- antal
- observera
- få
- Uppenbara
- of
- Erbjudanden
- Ofta
- on
- ONE
- pågående
- endast
- öppet
- öppning
- öppnas
- drift
- Verksamhet
- or
- beställa
- ursprung
- Övriga
- vår
- ut
- över
- Pack
- packad
- sida
- särskilt
- partnern
- Lösenord
- Mönster
- betalning
- Personer
- perioden
- perioder
- personlig
- Peru
- Nätfiske
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- poäng
- Polen
- polska
- Populära
- Möjligheterna
- Möjligheten
- möjlig
- potentiell
- utbredning
- förhärskande
- förhindras
- föregående
- tidigare
- privat
- bearbetning
- Produkter
- framträdande
- egenskaper
- skyddad
- ge
- publicly
- publicerade
- ganska
- citera
- höja
- Ransomware
- Ransomware-attacker
- RÅTTA
- Raw
- Anledningen
- rimlig
- rekommenderas
- Red
- Röda flaggor
- redacted
- Hälsningar
- registrerat
- pålitlig
- Rapport
- forskning
- respons
- begränsningar
- resulterande
- avslöjande
- borrad
- åkattraktioner
- höger
- s
- Samma
- såg
- Sök
- Andra
- säkerhet
- sett
- sända
- avsändare
- skicka
- skickas
- September
- Serbien
- service
- Tjänster
- svår
- skifta
- skall
- show
- visar
- visas
- signifikant
- signifikant
- signering
- liknande
- enklare
- eftersom
- sedan 2016
- Sir
- So
- Mjukvara
- säljs
- några
- ibland
- något
- Källor
- Spanien
- skräppost
- specifik
- spik
- spikar
- Spridning
- standard
- igång
- Ange
- statistik
- Fortfarande
- stulna
- Sluta
- slutade
- lagras
- lagrar
- stark
- struktur
- ämne
- framgångsrik
- sådana
- plötslig
- lämplig
- uppstår
- bord
- Målet
- riktade
- targeting
- mål
- Tekniken
- tekniker
- tiotals
- villkor
- text
- än
- den där
- Smakämnen
- deras
- Dem
- Där.
- Dessa
- de
- sak
- detta
- de
- fastän?
- hot
- hotaktörer
- Således
- SLIPS
- tid
- tidslinje
- till
- tillsammans
- Totalt
- överföring
- Trender
- försökte
- tredubbling
- Türkiye
- två
- Ukraina
- Ukraina
- Oväntat
- unika
- okänd
- us
- Användning
- användning
- Begagnade
- användare
- med hjälp av
- vanliga
- Omfattande
- versioner
- mycket
- Victim
- offer
- Besök
- var
- vågor
- Sätt..
- we
- webb
- VÄL
- ALLBEKANT
- były
- Vad
- när
- om
- som
- medan
- VEM
- vars
- bredd
- Vild
- med
- utan
- ord
- inom hela sverige
- värt
- skulle
- år
- Om er
- Din
- zephyrnet