Rescoms ขี่คลื่นสแปม AceCryptor

ปีที่แล้ว ESET เผยแพร่ไฟล์ โพสต์บล็อกเกี่ยวกับ AceCryptor – หนึ่งใน cryptors-as-a-service (CaaS) ที่ได้รับความนิยมและแพร่หลายมากที่สุดที่ดำเนินงานมาตั้งแต่ปี 2016 สำหรับครึ่งแรกของปี 1 เราเผยแพร่ สถิติจากการวัดและส่งข้อมูลทางไกลของเรา ตามแนวโน้มจากช่วงเวลาก่อนหน้านี้ดำเนินต่อไปโดยไม่มีการเปลี่ยนแปลงที่รุนแรง

อย่างไรก็ตาม ในช่วงครึ่งหลังของปี 2 เราได้บันทึกการเปลี่ยนแปลงที่สำคัญเกี่ยวกับวิธีการใช้ AceCryptor ไม่เพียงแต่เราได้เห็นและบล็อกการโจมตีสองเท่าในช่วงครึ่งหลังของปี 2023 เมื่อเปรียบเทียบกับช่วงครึ่งแรกของปี 2 แต่เรายังสังเกตเห็นว่า Rescoms (หรือที่รู้จักในชื่อ Remcos) เริ่มใช้ AceCryptor ซึ่งไม่ได้เป็นเช่นนั้นมาก่อน

ตัวอย่าง RAT ที่บรรจุ Rescoms ของ AceCryptor ส่วนใหญ่ถูกใช้เป็นเวคเตอร์การประนีประนอมเบื้องต้นในแคมเปญสแปมหลายรายการที่กำหนดเป้าหมายไปยังประเทศในยุโรป รวมถึงโปแลนด์ สโลวาเกีย บัลแกเรีย และเซอร์เบีย

ประเด็นสำคัญของบล็อกโพสต์นี้:

• AceCryptor ยังคงให้บริการแพ็คกิ้งแก่กลุ่มมัลแวร์ที่รู้จักกันดีหลายสิบกลุ่มในช่วงครึ่งหลังของปี 2
• แม้ว่าผลิตภัณฑ์ด้านความปลอดภัยจะเป็นที่รู้จักดี แต่ความแพร่หลายของ AceCryptor ไม่ได้แสดงสัญญาณของการลดลง ในทางกลับกัน จำนวนการโจมตีเพิ่มขึ้นอย่างมากเนื่องจากแคมเปญ Rescoms
• AceCryptor คือ cryptor ของตัวเลือกของผู้คุกคามที่กำหนดเป้าหมายประเทศและเป้าหมายเฉพาะ (เช่น บริษัทในประเทศใดประเทศหนึ่ง)
• ในช่วงครึ่งหลังของปี 2 ESET ตรวจพบแคมเปญ AceCryptor+Rescoms หลายแคมเปญในประเทศยุโรป ซึ่งส่วนใหญ่เป็นโปแลนด์ บัลแกเรีย สเปน และเซอร์เบีย
• ผู้คุกคามที่อยู่เบื้องหลังแคมเปญเหล่านั้นในบางกรณีได้ใช้บัญชีที่ถูกบุกรุกในทางที่ผิดเพื่อส่งอีเมลขยะเพื่อให้ดูน่าเชื่อถือที่สุดเท่าที่จะเป็นไปได้
• เป้าหมายของแคมเปญสแปมคือการได้รับข้อมูลรับรองที่จัดเก็บไว้ในเบราว์เซอร์หรือไคลเอนต์อีเมล ซึ่งในกรณีที่การประนีประนอมประสบความสำเร็จจะเปิดโอกาสให้มีการโจมตีเพิ่มเติม

AceCryptor ในครึ่งหลังของปี 2

ในช่วงครึ่งแรกของปี 2023 ESET ได้ปกป้องผู้ใช้ประมาณ 13,000 รายจากมัลแวร์ที่บรรจุ AceCryptor ในช่วงครึ่งหลังของปี มีการแพร่กระจายมัลแวร์ที่เต็มไปด้วย AceCryptor เพิ่มขึ้นอย่างมาก โดยการตรวจจับของเราเพิ่มขึ้นสามเท่า ส่งผลให้มีผู้ใช้ ESET ที่ได้รับการป้องกันมากกว่า 42,000 รายทั่วโลก ดังที่เห็นได้ในรูปที่ 1 เราตรวจพบการแพร่กระจายของมัลแวร์ที่เกิดขึ้นอย่างกะทันหันหลายครั้ง การเพิ่มขึ้นอย่างรวดเร็วเหล่านี้แสดงแคมเปญสแปมหลายรายการที่กำหนดเป้าหมายไปยังประเทศในยุโรปที่ AceCryptor บรรจุ Rescoms RAT (กล่าวถึงเพิ่มเติมใน แคมเปญ Rescoms มาตรา).

นอกจากนี้ เมื่อเราเปรียบเทียบจำนวนตัวอย่างดิบ: ในช่วงครึ่งแรกของปี 2023 ESET ตรวจพบ AceCryptor ตัวอย่างที่เป็นอันตรายมากกว่า 23,000 ตัวอย่าง; ในช่วงครึ่งหลังของปี 2023 เราเห็นและตรวจพบ "เพียง" มากกว่า 17,000 ตัวอย่างที่ไม่ซ้ำกัน แม้ว่าสิ่งนี้อาจเป็นเรื่องที่ไม่คาดคิด แต่หลังจากพิจารณาข้อมูลโดยละเอียดแล้ว ก็มีคำอธิบายที่สมเหตุสมผล แคมเปญสแปม Rescoms ใช้ไฟล์ที่เป็นอันตรายเดียวกันในแคมเปญอีเมลที่ส่งไปยังผู้ใช้จำนวนมากขึ้น จึงเพิ่มจำนวนผู้ที่พบมัลแวร์ แต่ยังคงรักษาจำนวนไฟล์ที่แตกต่างกันให้ต่ำ สิ่งนี้ไม่ได้เกิดขึ้นในช่วงก่อนหน้านี้ เนื่องจากแทบไม่เคยใช้ Rescoms ร่วมกับ AceCryptor เลย อีกเหตุผลหนึ่งที่ทำให้จำนวนตัวอย่างที่ไม่ซ้ำกันลดลงก็เนื่องมาจากครอบครัวยอดนิยมบางครอบครัวเห็นได้ชัดว่าหยุด (หรือเกือบจะหยุด) โดยใช้ AceCryptor เป็นที่หันไปใช้ CaaS ตัวอย่างคือมัลแวร์ Danabot ซึ่งหยุดใช้ AceCryptor นอกจากนี้ RedLine Stealer ที่โดดเด่นซึ่งผู้ใช้หยุดใช้ AceCryptor มาก โดยอ้างอิงจากการลดลงมากกว่า 60% ในตัวอย่าง AceCryptor ที่มีมัลแวร์นั้น

ดังที่เห็นในรูปที่ 2 AceCryptor ยังคงเผยแพร่ตัวอย่างจากตระกูลมัลแวร์ต่างๆ มากมาย นอกเหนือจาก Rescoms เช่น SmokeLoader, STOP ransomware และ Vidar Stealer

ในช่วงครึ่งแรกของปี 2023 ประเทศที่ได้รับผลกระทบจากมัลแวร์ที่บรรจุโดย AceCryptor มากที่สุด ได้แก่ เปรู เม็กซิโก อียิปต์ และตุรกี โดยที่เปรูซึ่งมีจำนวนการโจมตีมากที่สุดอยู่ที่ 4,700 ครั้ง แคมเปญสแปม Rescoms เปลี่ยนแปลงสถิติเหล่านี้อย่างมากในช่วงครึ่งหลังของปี ดังที่เห็นในรูปที่ 3 มัลแวร์ที่บรรจุ AceCryptor ส่งผลกระทบต่อประเทศในยุโรปเป็นส่วนใหญ่ ประเทศที่ได้รับผลกระทบมากที่สุดคือโปแลนด์ ซึ่ง ESET ป้องกันการโจมตีได้มากกว่า 26,000 ครั้ง; ตามมาด้วยยูเครน สเปน และเซอร์เบีย และเป็นที่น่าสังเกตว่าในแต่ละประเทศผลิตภัณฑ์ ESET ป้องกันการโจมตีได้มากกว่าในประเทศที่ได้รับผลกระทบมากที่สุดในช่วงครึ่งหลังของปี 1 เปรู

ตัวอย่าง AceCryptor ที่เราสังเกตเห็นใน H2 มักจะมีมัลแวร์สองกลุ่มเป็นเพย์โหลด: Rescoms และ SmokeLoader การเพิ่มขึ้นอย่างรวดเร็วในยูเครนเกิดจาก SmokeLoader ข้อเท็จจริงนี้ได้ถูกกล่าวถึงแล้ว โดย NSDC ของยูเครน. ในทางกลับกัน ในโปแลนด์ สโลวาเกีย บัลแกเรีย และเซอร์เบีย กิจกรรมที่เพิ่มขึ้นเกิดจาก AceCryptor ที่มี Rescoms เป็นเพย์โหลดสุดท้าย

แคมเปญ Rescoms

ในช่วงครึ่งแรกของปี 2023 เราพบว่าการวัดทางไกลของเรามีเหตุการณ์ตัวอย่าง AceCryptor น้อยกว่าร้อยเหตุการณ์ที่มี Rescom อยู่ข้างใน ในช่วงครึ่งหลังของปี Rescoms กลายเป็นกลุ่มมัลแวร์ที่แพร่หลายมากที่สุดโดย AceCryptor โดยมีการโจมตีมากกว่า 32,000 ครั้ง ความพยายามมากกว่าครึ่งหนึ่งเกิดขึ้นในโปแลนด์ ตามมาด้วยเซอร์เบีย สเปน บัลแกเรีย และสโลวาเกีย (รูปที่ 4)

แคมเปญในโปแลนด์

ด้วยการตรวจวัดทางไกลของ ESET เราจึงสามารถสังเกตแคมเปญสแปมสำคัญแปดแคมเปญที่กำหนดเป้าหมายไปยังโปแลนด์ในช่วงครึ่งหลังของปี 2 ดังที่เห็นในรูปที่ 2023 ส่วนใหญ่เกิดขึ้นในเดือนกันยายน แต่ก็มีแคมเปญในเดือนสิงหาคมและธันวาคมเช่นกัน

โดยรวมแล้ว ESET บันทึกการโจมตีเหล่านี้มากกว่า 26,000 ครั้งในโปแลนด์ในช่วงเวลานี้ แคมเปญสแปมทั้งหมดกำหนดเป้าหมายธุรกิจในโปแลนด์ และอีเมลทั้งหมดมีหัวเรื่องที่คล้ายกันมากเกี่ยวกับข้อเสนอ B2B สำหรับบริษัทที่ตกเป็นเหยื่อ เพื่อให้ดูน่าเชื่อถือที่สุดเท่าที่จะเป็นไปได้ ผู้โจมตีได้รวมเทคนิคต่อไปนี้ไว้ในอีเมลขยะ:

• ที่อยู่อีเมลที่พวกเขาส่งอีเมลขยะจากโดเมนลอกเลียนแบบของบริษัทอื่น ผู้โจมตีใช้ TLD อื่น เปลี่ยนตัวอักษรในชื่อบริษัทหรือลำดับคำในกรณีที่เป็นชื่อบริษัทที่มีหลายคำ (เทคนิคนี้เรียกว่าการพิมพ์ผิด)
• สิ่งที่สำคัญที่สุดคือมีหลายแคมเปญที่เกี่ยวข้อง อีเมลธุรกิจประนีประนอม – ผู้โจมตีใช้บัญชีอีเมลที่ถูกบุกรุกก่อนหน้านี้ของพนักงานบริษัทอื่นเพื่อส่งอีเมลขยะ ด้วยวิธีนี้แม้ว่าผู้ที่อาจเป็นเหยื่อจะมองหาธงสีแดงตามปกติ แต่ก็ไม่ได้อยู่ที่นั่นและอีเมลก็ดูถูกกฎหมายเท่าที่ควร

ผู้โจมตีทำการวิจัยและใช้ชื่อบริษัทในโปแลนด์ที่มีอยู่ แม้แต่ชื่อพนักงาน/เจ้าของที่มีอยู่ และข้อมูลติดต่อเมื่อลงนามในอีเมลเหล่านั้น การทำเช่นนี้ในกรณีที่เหยื่อพยายามค้นหาชื่อผู้ส่งใน Google การค้นหาจะประสบความสำเร็จ ซึ่งอาจทำให้พวกเขาเปิดไฟล์แนบที่เป็นอันตรายได้

• เนื้อหาของอีเมลขยะในบางกรณีง่ายกว่า แต่ในหลายกรณี (เช่นตัวอย่างในรูปที่ 6) ค่อนข้างซับซ้อน โดยเฉพาะอย่างยิ่งเวอร์ชันที่ซับซ้อนมากขึ้นเหล่านี้ควรถือว่าเป็นอันตรายเนื่องจากเบี่ยงเบนไปจากรูปแบบมาตรฐานของข้อความทั่วไป ซึ่งมักเต็มไปด้วยข้อผิดพลาดทางไวยากรณ์

อีเมลที่แสดงในรูปที่ 6 มีข้อความตามด้วยข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่ทำโดยผู้ส่งที่ถูกกล่าวหาและความเป็นไปได้ที่จะ “เข้าถึงเนื้อหาข้อมูลของคุณและสิทธิ์ในการแก้ไข ลบ จำกัดข้อจำกัดในการประมวลผล สิทธิ์ในการถ่ายโอนข้อมูล สิทธิในการคัดค้าน และสิทธิในการยื่นเรื่องร้องเรียนต่อหน่วยงานกำกับดูแล” ข้อความสามารถแปลได้ดังนี้:

Dear Sir,

ฉันชื่อซิลเวสเตอร์ [แก้ไข] จาก [แก้ไข] บริษัทของคุณได้รับการแนะนำโดยพันธมิตรทางธุรกิจ กรุณาอ้างอิงรายการสั่งซื้อที่แนบมาด้วย โปรดแจ้งให้เราทราบเกี่ยวกับเงื่อนไขการชำระเงินด้วย

เราหวังเป็นอย่างยิ่งว่าจะได้รับการตอบกลับและการอภิปรายเพิ่มเติมของคุณ

-

ขอแสดงความนับถือที่ดีที่สุด

สิ่งที่แนบมาในทุกแคมเปญดูค่อนข้างคล้ายกัน (รูปที่ 7) อีเมลมีไฟล์แนบหรือไฟล์ ISO ชื่อ offer/inquiry (แน่นอนว่าเป็นภาษาโปแลนด์) ในบางกรณีจะมาพร้อมกับหมายเลขคำสั่งซื้อด้วย ไฟล์ดังกล่าวมีไฟล์ปฏิบัติการ AceCryptor ซึ่งแตกไฟล์และเปิดใช้งาน Rescoms

จากพฤติกรรมของมัลแวร์ เราถือว่าเป้าหมายของแคมเปญเหล่านี้คือการได้รับข้อมูลประจำตัวอีเมลและเบราว์เซอร์ และด้วยเหตุนี้ จึงได้รับสิทธิ์เข้าถึงเบื้องต้นไปยังบริษัทเป้าหมาย แม้ว่าจะไม่ทราบว่าข้อมูลประจำตัวถูกรวบรวมไว้สำหรับกลุ่มที่ทำการโจมตีเหล่านี้ หรือหากข้อมูลประจำตัวที่ถูกขโมยเหล่านั้นจะถูกขายให้กับผู้คุกคามรายอื่นในภายหลัง แต่ก็แน่นอนว่าการประนีประนอมที่ประสบความสำเร็จจะเปิดโอกาสในการโจมตีเพิ่มเติม โดยเฉพาะอย่างยิ่งจากการโจมตีที่ได้รับความนิยมในปัจจุบัน การโจมตีของแรนซัมแวร์

สิ่งสำคัญคือต้องระบุว่าสามารถซื้อ Rescoms RAT ได้ ดังนั้นผู้คุกคามจำนวนมากจึงใช้มันในการดำเนินงานของตน แคมเปญเหล่านี้ไม่เพียงเชื่อมโยงกันด้วยความคล้ายคลึงกันของเป้าหมาย โครงสร้างไฟล์แนบ ข้อความอีเมล หรือกลเม็ดและเทคนิคที่ใช้ในการหลอกลวงผู้ที่อาจเป็นเหยื่อ แต่ยังรวมถึงคุณสมบัติบางอย่างที่ไม่ชัดเจนอีกด้วย ในมัลแวร์นั้นเอง เราสามารถค้นหาสิ่งประดิษฐ์ (เช่น ID ใบอนุญาตสำหรับ Rescoms) ที่เชื่อมโยงแคมเปญเหล่านั้นเข้าด้วยกัน ซึ่งเผยให้เห็นว่าการโจมตีจำนวนมากเหล่านี้ดำเนินการโดยผู้คุกคามรายเดียว

การรณรงค์ในสโลวาเกีย บัลแกเรีย และเซอร์เบีย

ในช่วงเวลาเดียวกันกับแคมเปญในโปแลนด์ การตรวจวัดทางไกลของ ESET ยังลงทะเบียนแคมเปญที่กำลังดำเนินอยู่ในสโลวาเกีย บัลแกเรีย และเซอร์เบียอีกด้วย แคมเปญเหล่านี้มุ่งเป้าไปที่บริษัทท้องถิ่นเป็นหลัก และเรายังสามารถค้นหาสิ่งประดิษฐ์ในมัลแวร์ที่เชื่อมโยงแคมเปญเหล่านี้กับผู้คุกคามรายเดียวกับที่ดำเนินการแคมเปญในโปแลนด์ สิ่งเดียวที่สำคัญที่เปลี่ยนแปลงคือภาษาที่ใช้ในอีเมลขยะให้เหมาะสมกับประเทศเหล่านั้น

แคมเปญในสเปน

นอกเหนือจากแคมเปญที่กล่าวถึงก่อนหน้านี้ สเปนยังประสบปัญหาอีเมลขยะจำนวนมากโดยมี Rescoms เป็นเพย์โหลดสุดท้าย แม้ว่าเราจะยืนยันได้ว่าอย่างน้อยหนึ่งแคมเปญดำเนินการโดยผู้ก่อภัยคุกคามรายเดียวกันในกรณีก่อนหน้านี้ แต่แคมเปญอื่นๆ ก็มีรูปแบบที่แตกต่างออกไปบ้าง นอกจากนี้ แม้แต่สิ่งประดิษฐ์ที่เหมือนกันในกรณีก่อนหน้านี้ก็ยังต่างกัน ด้วยเหตุนี้ เราจึงไม่สามารถสรุปได้ว่าการรณรงค์ในสเปนมีต้นกำเนิดมาจากที่เดียวกัน

สรุป

ในช่วงครึ่งหลังของปี 2023 เราตรวจพบการเปลี่ยนแปลงในการใช้งาน AceCryptor ซึ่งเป็นสกุลเงินดิจิทัลยอดนิยมที่ผู้คุกคามหลายรายใช้เพื่อแพ็คตระกูลมัลแวร์จำนวนมาก แม้ว่าความแพร่หลายของตระกูลมัลแวร์บางตระกูล เช่น RedLine Stealer จะลดลง แต่ผู้คุกคามรายอื่นก็เริ่มใช้มันหรือใช้มันมากขึ้นสำหรับกิจกรรมของพวกเขา และ AceCryptor ก็ยังคงแข็งแกร่ง ในแคมเปญเหล่านี้ AceCryptor ถูกใช้เพื่อกำหนดเป้าหมายหลายประเทศในยุโรป และเพื่อดึงข้อมูล หรือเข้าถึงบริษัทหลายแห่งเป็นครั้งแรก มัลแวร์ในการโจมตีเหล่านี้แพร่กระจายไปในอีเมลขยะ ซึ่งในบางกรณีก็ค่อนข้างน่าเชื่อ บางครั้งสแปมก็ถูกส่งจากบัญชีอีเมลที่ถูกกฎหมาย แต่มีการละเมิดด้วยซ้ำ เนื่องจากการเปิดไฟล์แนบจากอีเมลดังกล่าวอาจส่งผลร้ายแรงต่อคุณหรือบริษัทของคุณ เราขอแนะนำให้คุณระวังเกี่ยวกับสิ่งที่คุณเปิดและใช้ซอฟต์แวร์รักษาความปลอดภัยปลายทางที่เชื่อถือได้ซึ่งสามารถตรวจจับมัลแวร์ได้

หากมีข้อสงสัยเกี่ยวกับงานวิจัยของเราที่เผยแพร่บน WeLiveSecurity โปรดติดต่อเราที่ Threatintel@eset.com.
ESET Research เสนอรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากต้องการสอบถามเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.

ไอโอซี

ดูรายการตัวบ่งชี้การประนีประนอม (IoC) ที่ครอบคลุมได้ในของเรา พื้นที่เก็บข้อมูล GitHub.

ไฟล์

SHA-1	ชื่อไฟล์	การตรวจพบ	รายละเอียด
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในเซอร์เบียในช่วงเดือนธันวาคม 2023
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนกันยายน 2023
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์และบัลแกเรียในช่วงเดือนกันยายน 2023
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในเซอร์เบียในช่วงเดือนกันยายน 2023
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในบัลแกเรียในช่วงเดือนกันยายน 2023
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนสิงหาคม 2023
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในเซอร์เบียในช่วงเดือนสิงหาคม 2023
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในบัลแกเรียในช่วงเดือนสิงหาคม 2023
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในสโลวาเกียในช่วงเดือนสิงหาคม 2023
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในบัลแกเรียในช่วงเดือนธันวาคม 2023
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนกันยายน 2023
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนกันยายน 2023
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	ซาโมวีนี่_ อังเดร.7z	Win32/Kryptik.HUOZ	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนกันยายน 2023
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	การแนบไฟล์ที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในเซอร์เบียในช่วงเดือนกันยายน 2023
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนธันวาคม 2023
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	รายการzamówieńและszczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในโปแลนด์ในช่วงเดือนกันยายน 2023
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	ไฟล์แนบที่เป็นอันตรายจากแคมเปญสแปมที่เกิดขึ้นในสเปนในช่วงเดือนสิงหาคม 2023

เทคนิค MITER ATT&CK

ตารางนี้ถูกสร้างขึ้นโดยใช้ 14 รุ่น ของกรอบงาน MITER ATT&CK

ชั้นเชิง	ID	Name	รายละเอียด
การลาดตระเวน	T1589.002	รวบรวมข้อมูลประจำตัวของเหยื่อ: ที่อยู่อีเมล	ที่อยู่อีเมลและข้อมูลการติดต่อ (ทั้งที่ซื้อหรือรวบรวมจากแหล่งที่เปิดเผยต่อสาธารณะ) ถูกนำมาใช้ในแคมเปญฟิชชิ่งเพื่อกำหนดเป้าหมายบริษัทต่างๆ ในหลายประเทศ
การพัฒนาทรัพยากร	T1586.002	บัญชีที่ถูกประนีประนอม: บัญชีอีเมล	ผู้โจมตีใช้บัญชีอีเมลที่ถูกบุกรุกเพื่อส่งอีเมลฟิชชิ่งในแคมเปญสแปมเพื่อเพิ่มความน่าเชื่อถือของอีเมลขยะ
	T1588.001	รับความสามารถ: มัลแวร์	ผู้โจมตีซื้อและใช้ AceCryptor และ Rescoms สำหรับแคมเปญฟิชชิ่ง
การเข้าถึงเบื้องต้น	T1566	ฟิชชิ่ง	ผู้โจมตีใช้ข้อความฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายเพื่อโจมตีคอมพิวเตอร์และขโมยข้อมูลจากบริษัทในหลายประเทศในยุโรป
	T1566.001	ฟิชชิ่ง: ไฟล์แนบ Spearphishing	ผู้โจมตีใช้ข้อความฟิชชิ่งเพื่อโจมตีคอมพิวเตอร์และขโมยข้อมูลจากบริษัทในหลายประเทศในยุโรป
การกระทำ	T1204.002	การดำเนินการของผู้ใช้: ไฟล์ที่เป็นอันตราย	ผู้โจมตีอาศัยการที่ผู้ใช้เปิดและเปิดไฟล์ที่เป็นอันตรายซึ่งมีมัลแวร์ที่บรรจุโดย AceCryptor
การเข้าถึงข้อมูลประจำตัว	T1555.003	ข้อมูลรับรองจากร้านค้ารหัสผ่าน: ข้อมูลรับรองจากเว็บเบราว์เซอร์	ผู้โจมตีพยายามขโมยข้อมูลประจำตัวจากเบราว์เซอร์และโปรแกรมรับส่งเมล

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/