En nyupptäckt cyberattackspanel kallad TeslaGun har upptäckts, som används av Evil Corp för att köra ServHelper-bakdörrskampanjer.
Data hämtade från en analys av Prodraft Threat Intelligence (PTI)-teamet visar att Evil Corp ransomware-gänget (aka TA505 eller UNC2165, tillsammans med ett halvdussin andra färgglada spårningsnamn) har använt TeslaGun för att genomföra massnätfiskekampanjer och riktade kampanjer mot fler mer än 8,000 3,600 olika organisationer och individer. Majoriteten av målen har varit i USA, som stod för mer än XNUMX XNUMX av offren, med en spridd internationell spridning utanför det.
Det har skett en fortsatt expansion av ServHelper bakdörr skadlig kod, ett långvarigt och ständigt uppdaterat paket som har funnits sedan åtminstone 2019. Det började ta fart igen under andra halvan av 2021, enligt en rapport från Cisco Talos, sporrade av mekanismer som falska installatörer och tillhörande skadlig programvara som Raccoon och Amadey.
Senast, hotunderrättelser från Trellix förra månaden rapporterade att ServHelper-bakdörren nyligen har hittats släppa dolda kryptominers på system.
PTI-rapporten, publicerad på tisdagen, fördjupar sig i de tekniska detaljerna bakom TeslaGun, och erbjuder några detaljer och tips som kan hjälpa företag att gå vidare med viktiga motåtgärder till några av de rådande trenderna för cyberattacker i bakdörren idag.
Bakdörrsattacker som kringgår autentiseringsmekanismer och tyst etablerar uthållighet på företagssystem är några av de mest oroande för cybersäkerhetsförsvarare. Det beror på att dessa attacker är notoriskt svåra att upptäcka eller förhindra med standardsäkerhetskontroller.
Bakdörrsangripare diversifierar sina attacktillgångar
PTI-forskare sa att de observerade ett brett utbud av olika offerprofiler och kampanjer under sina undersökningar, vilket stödde tidigare forskning som visade att ServHelper-attacker trålar efter offer i en mängd olika samtidiga kampanjer. Detta är ett varumärkesangreppsmönster för att kasta ett brett nät för opportunistiska träffar.
"En enda instans av TeslaGun-kontrollpanelen innehåller flera kampanjposter som representerar olika leveransmetoder och attackdata," förklarade rapporten. "Nyere versioner av skadlig programvara kodar dessa olika kampanjer som kampanj-ID:n."
Men cyberangripare kommer aktivt att profilera offer
Samtidigt innehåller TeslaGun massor av bevis för att angripare profilerar offer, tar rikliga anteckningar vid vissa punkter och utför riktade bakdörrsattacker.
"PTI-teamet observerade att TeslaGun-panelens huvudinstrumentpanel innehåller kommentarer kopplade till offerregister. Dessa register visar offerenhetsdata som CPU, GPU, RAM-storlek och internetanslutningshastighet”, sa rapporten, som förklarar att detta indikerar inriktning på kryptomineringsmöjligheter. "Å andra sidan, enligt offerkommentarer, är det tydligt att TA505 aktivt letar efter onlinebank- eller detaljhandelsanvändare, inklusive kryptoplånböcker och e-handelskonton."
Rapporten sa att de flesta offren verkar verka inom finanssektorn men att denna inriktning inte är exklusiv.
Återförsäljning är en viktig del av intäktsgenerering bakdörr
Det sätt som kontrollpanelens användaralternativ är inrättade erbjöd forskarna mycket information om gruppens "arbetsflöde och kommersiella strategi", står det i rapporten. Till exempel var vissa filtreringsalternativ märkta som "Sälj" och "Sälj 2" med offer i dessa grupper som hade protokoll för fjärrskrivbord (RDP) tillfälligt inaktiverade via panelen.
"Detta betyder förmodligen att TA505 inte omedelbart kan tjäna pengar på att utnyttja just dessa offer", enligt rapporten. "Istället för att släppa dem har gruppen taggat offrets RDP-anslutningar för vidareförsäljning till andra cyberkriminella."
PTI-rapporten sa att baserat på forskarnas observationer var gruppens interna struktur "förvånansvärt oorganiserad" men att dess medlemmar fortfarande "noggrannt övervakar sina offer och kan visa ett anmärkningsvärt tålamod, särskilt med värdefulla offer i finanssektorn."
Analysen noterar vidare att styrkan i gruppen är dess smidighet, vilket gör det svårt att förutsäga aktivitet och upptäcka över tid.
Ändå är bakdörrsangriparna inte perfekta, och detta kan ge några ledtrådar för cybersäkerhetsproffs som vill omintetgöra deras ansträngningar.
"Gruppen uppvisar dock några tydliga svagheter. Medan TA505 kan upprätthålla dolda anslutningar på offrens enheter i månader, är dess medlemmar ofta ovanligt bullriga, säger rapporten. "Efter installation av ServHelper kan TA505-hotaktörer ansluta manuellt till offrets enheter genom RDP-tunnling. Säkerhetstekniker som kan upptäcka dessa tunnlar kan visa sig vara avgörande för att fånga upp och mildra TA505:s bakdörrsattacker."
Den ryskkopplade (och sanktionerade) Evil Corp har varit en av de mest produktiva grupperna under de senaste fem åren. Enligt USAs regering, gruppen är hjärnan bakom den finansiella trojanen Dridex och har associationer till kampanjer som använder ransomware-varianter som WastedLocker. Den fortsätter att finslipa en rad vapen för sin arsenal också; förra veckan kom det fram att det är förknippat med Hallon Robin infektioner.
PTI använder TA505 för att spåra hotet, och konsensus är solid men inte universellt att TA505 och Evil Corp är samma grupp. En rapport förra månaden från Health Sector Cybersecurity Coordination Center (HC3) sa att det "för närvarande inte stöder den slutsatsen."
