Минулого року ESET опублікувала a допис у блозі про AceCryptor – один із найпопулярніших і найпоширеніших крипторів як послуга (CaaS), який працює з 2016 року. Для першого півріччя 1 року ми опублікували статистика з нашої телеметрії, згідно з якою тенденції попередніх періодів зберігаються без кардинальних змін.
Однак у другій половині 2 року ми зареєстрували значні зміни у використанні AceCryptor. Ми не тільки спостерігали та блокували вдвічі більше атак у другому півріччі 2023 року порівняно з першим півріччям 2 року, але ми також помітили, що Rescoms (також відомий як Remcos) почав використовувати AceCryptor, чого не було раніше.
Переважна більшість зразків Rescoms RAT, наповнених AceCryptor, використовувалися як початковий вектор компрометації в численних спам-кампаніях, націлених на європейські країни, включаючи Польщу, Словаччину, Болгарію та Сербію.
Ключові моменти цього блогу:
- У другому півріччі 2 року AceCryptor продовжував надавати послуги пакування десяткам дуже відомих сімейств шкідливого програмного забезпечення.
- Незважаючи на те, що AceCryptor добре відомий продуктами безпеки, поширеність AceCryptor не демонструє ознак зниження: навпаки, кількість атак значно зросла завдяки кампаніям Rescoms.
- AceCryptor — це шифратор, який вибирають суб’єкти загроз, націлені на конкретні країни та цілі (наприклад, компанії в певній країні).
- У другому півріччі 2 року ESET виявила численні кампанії AceCryptor+Rescoms у європейських країнах, переважно в Польщі, Болгарії, Іспанії та Сербії.
- Зловмисник, який стоїть за цими кампаніями, у деяких випадках зловживав скомпрометованими обліковими записами для надсилання спаму, щоб вони виглядали якомога більш достовірними.
- Метою спам-кампаній було отримати облікові дані, що зберігаються в браузерах або клієнтах електронної пошти, які в разі успішної компрометації відкриють можливості для подальших атак.
AceCryptor у другій половині 2 року
У першій половині 2023 року ESET захистила близько 13,000 42,000 користувачів від зловмисного програмного забезпечення, наповненого AceCryptor. У другій половині року відбулося значне зростання шкідливого програмного забезпечення, заповненого AceCryptor, яке поширювалося в дикій природі, причому кількість наших виявлень потроїлася, що призвело до того, що понад 1 XNUMX захищених користувачів ESET по всьому світу. Як видно на малюнку XNUMX, ми виявили численні раптові хвилі поширення зловмисного програмного забезпечення. Ці сплески вказують на численні спам-кампанії, націлені на європейські країни, де AceCryptor запакував Rescoms RAT (більше обговорюється в Кампанії Rescoms розділ)
Крім того, якщо порівняти необроблену кількість зразків: у першій половині 2023 року ESET виявила понад 23,000 2023 унікальних шкідливих зразків AceCryptor; у другій половині 17,000 року ми побачили та виявили «лише» понад 60 XNUMX унікальних зразків. Незважаючи на те, що це може бути неочікуваним, після більш детального вивчення даних є розумне пояснення. Спам-кампанії Rescoms використовували ті самі шкідливі файли в кампаніях електронної пошти, надісланих більшій кількості користувачів, таким чином збільшуючи кількість людей, які зіткнулися зі зловмисним програмним забезпеченням, але все ще зберігаючи низьку кількість різних файлів. Цього не траплялося в попередні періоди, оскільки Rescoms майже ніколи не використовувався в поєднанні з AceCryptor. Ще одна причина зменшення кількості унікальних зразків полягає в тому, що деякі популярні родини, очевидно, перестали (або майже перестали) використовувати AceCryptor як свій вихід на CaaS. Прикладом є зловмисне програмне забезпечення Danabot, яке перестало використовувати AceCryptor; також відомий RedLine Stealer, користувачі якого перестали використовувати AceCryptor так часто, на основі зменшення більш ніж на XNUMX% зразків AceCryptor, що містять це шкідливе програмне забезпечення.
Як видно на малюнку 2, AceCryptor досі розповсюджує, окрім Rescoms, зразки з багатьох різних сімейств шкідливих програм, таких як SmokeLoader, STOP ransomware і Vidar stealer.
У першій половині 2023 року країнами, які найбільше постраждали від зловмисного програмного забезпечення, упакованого AceCryptor, були Перу, Мексика, Єгипет і Туреччина, де Перу (4,700) мала найбільшу кількість атак. Спам-кампанії Rescoms різко змінили цю статистику в другій половині року. Як видно на малюнку 3, зловмисне програмне забезпечення AceCryptor вразило переважно європейські країни. Найбільш постраждала країна – Польща, де ESET запобігла понад 26,000 1 атак; далі йдуть Україна, Іспанія та Сербія. І варто зазначити, що в кожній із цих країн продукти ESET запобігли більшій кількості атак, ніж у найбільш постраждалій країні в першому півріччі 2023 року – Перу.
Зразки AceCryptor, які ми спостерігали в H2, часто містили два сімейства зловмисних програм як корисне навантаження: Rescoms і SmokeLoader. Сплеск в Україні викликав SmokeLoader. Цей факт уже згадувався РНБО України. З іншого боку, у Польщі, Словаччині, Болгарії та Сербії підвищена активність була спричинена AceCryptor, що містить Rescoms як кінцеве корисне навантаження.
Кампанії Rescoms
У першій половині 2023 року ми бачили в нашій телеметрії менше сотні інцидентів із зразками AceCryptor із Rescoms всередині. Протягом другої половини року Rescoms став найпоширенішим сімейством шкідливих програм, упакованих AceCryptor, із понад 32,000 4 відвідувань. Понад половина цих спроб сталася в Польщі, за якою йдуть Сербія, Іспанія, Болгарія та Словаччина (рис. XNUMX).
Акції в Польщі
Завдяки телеметрії ESET ми змогли спостерігати вісім значних спам-кампаній, націлених на Польщу, у другій половині 2 року. Як видно на малюнку 2023, більшість із них відбулася у вересні, але були також кампанії в серпні та грудні.
Загалом ESET за цей період зареєструвала понад 26,000 2 таких атак у Польщі. Усі спам-кампанії були націлені на підприємства в Польщі, і всі електронні листи мали дуже схожі теми про пропозиції BXNUMXB для компаній-жертв. Щоб виглядати максимально правдоподібно, зловмисники застосували в спам-листах такі прийоми:
- Адреси електронної пошти, на які вони надсилали спам із імітованих доменів інших компаній. Зловмисники використовували інший домен верхнього рівня, змінювали літеру в назві компанії або порядок слів у випадку назви компанії з кількох слів (цей прийом відомий як друкарський набір).
- Найважливішим є те, що задіяно кілька кампаній компроміс ділової електронної пошти – зловмисники зловживали раніше зламаними обліковими записами електронної пошти інших співробітників компанії для надсилання спаму. Таким чином, навіть якщо потенційна жертва шукала звичайні червоні прапорці, їх просто не було, і електронний лист виглядав максимально законним.
Зловмисники провели дослідження та використали існуючі назви польських компаній і навіть існуючі імена співробітників/власників і контактну інформацію, підписуючи ці електронні листи. Це було зроблено для того, щоб у випадку, якщо жертва спробує знайти ім’я відправника в Google, пошук буде успішним, що може призвести до відкриття шкідливого вкладення.
- Вміст спаму в деяких випадках був простішим, але в багатьох випадках (як у прикладі на малюнку 6) досить складним. Особливо ці складніші версії слід вважати небезпечними, оскільки вони відхиляються від стандартної моделі загального тексту, який часто рясніє граматичними помилками.
Електронний лист, показаний на малюнку 6, містить повідомлення, за яким слідує інформація про обробку персональної інформації, здійснену передбачуваним відправником, і можливість «отримати доступ до вмісту ваших даних і право виправляти, видаляти, обмежувати обмеження обробки, право на передачу даних. , право подати заперечення та право подати скаргу до контролюючого органу». Саме повідомлення можна перекласти так:
Шановні панове,
Я Сильвестр [відредаговано] з [відредаговано]. Вашу компанію порекомендував нам бізнес-партнер. Будь ласка, вкажіть список замовлень, що додається. Також повідомте нам про умови оплати.
Ми з нетерпінням чекаємо вашої відповіді та подальшого обговорення.
-
З найкращими побажаннями,
Вкладення в усіх кампаніях виглядали досить схожими (рис. 7). Електронні листи містили прикріплений архів або ISO-файл під назвою «пропозиція/запит» (звичайно польською мовою), у деяких випадках також супроводжувався номером замовлення. Цей файл містив виконуваний файл AceCryptor, який розпакував і запустив Rescoms.
Виходячи з поведінки зловмисного програмного забезпечення, ми припускаємо, що ціль цих кампаній полягала в тому, щоб отримати облікові дані електронної пошти та браузера та таким чином отримати початковий доступ до цільових компаній. Хоча невідомо, чи були зібрані облікові дані для групи, яка здійснила ці атаки, чи ці викрадені облікові дані будуть пізніше продані іншим суб’єктам загрози, безсумнівно, що успішна компрометація відкриває можливість для подальших атак, особливо з боку популярних наразі атаки програм-вимагачів.
Важливо зазначити, що Rescoms RAT можна купити; тому багато загрозливих акторів використовують його у своїх операціях. Ці кампанії пов’язані не лише схожістю цілей, структурою вкладень, текстом електронної пошти чи прийомами та техніками, які використовуються для обману потенційних жертв, а й деякими менш очевидними властивостями. У самому зловмисному програмному забезпеченні ми змогли знайти артефакти (наприклад, ідентифікатор ліцензії для Rescoms), які пов’язують ці кампанії разом, показуючи, що багато з цих атак були здійснені одним загрозливим суб’єктом.
Кампанії в Словаччині, Болгарії та Сербії
Протягом тих же періодів часу, що й кампанії в Польщі, телеметрія ESET також зареєструвала поточні кампанії в Словаччині, Болгарії та Сербії. Ці кампанії також були в основному націлені на місцеві компанії, і ми навіть можемо знайти артефакти в самому зловмисному програмному забезпеченні, які пов’язують ці кампанії з тим самим загрозливим суб’єктом, який проводив кампанії в Польщі. Єдина важлива річ, яка змінилася, це, звичайно, мова, яка використовується в спам-листах, щоб відповідати цим конкретним країнам.
Кампанії в Іспанії
Окрім згаданих раніше кампаній, в Іспанії також спостерігався сплеск спаму з Rescoms як останнє корисне навантаження. Незважаючи на те, що ми можемо підтвердити, що принаймні одну з кампаній проводив той самий загрозливий суб’єкт, що й у цих попередніх випадках, інші кампанії мали дещо іншу схему. Крім того, навіть артефакти, які були однаковими в попередніх випадках, відрізнялися цим, і через це ми не можемо зробити висновок, що кампанії в Іспанії походять з того самого місця.
Висновок
У другій половині 2023 року ми помітили зміни у використанні AceCryptor – популярного шифрувальника, який використовується кількома загрозливими суб’єктами для упаковки багатьох сімейств шкідливого програмного забезпечення. Незважаючи на те, що поширеність деяких сімей зловмисного програмного забезпечення, як-от RedLine Stealer, зменшилася, інші суб’єкти загрози почали використовувати його або ще більше використовували для своєї діяльності, і AceCryptor все ще є сильним. У цих кампаніях AceCryptor використовувався для націлювання на кілька європейських країн і для отримання інформації. або отримати початковий доступ до кількох компаній. Зловмисне програмне забезпечення в цих атаках поширювалося в спам-листах, які в деяких випадках були досить переконливими; іноді спам надсилався навіть із законних, але зловживаних облікових записів електронної пошти. Оскільки відкриття вкладень із таких електронних листів може мати серйозні наслідки для вас або вашої компанії, ми рекомендуємо вам знати, що ви відкриваєте, і використовувати надійне програмне забезпечення для захисту кінцевих точок, здатне виявити зловмисне програмне забезпечення.
З будь-якими запитами щодо нашого дослідження, опублікованого на WeLiveSecurity, зв’яжіться з нами за адресою prijetintel@eset.com.
ESET Research пропонує приватні звіти APT та канали даних. Якщо у вас є запитання щодо цієї послуги, відвідайте ESET Threat Intelligence стр.
IoCs
Повний перелік індикаторів компромісу (IoC) можна знайти в нашому GitHub сховище.
Файли
SHA-1 |
ім'я файлу |
Виявлення |
Опис |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом грудня 2023 року. |
7DB6780A1E09AEC6146E |
запитання.7з |
Win32/Kryptik.HUNX |
Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Зловмисне вкладення від спам-кампанії, проведеної в Польщі та Болгарії протягом вересня 2023 року. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом вересня 2023 року. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
Зловмисне вкладення від спам-кампанії, проведеної в Болгарії протягом вересня 2023 року. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
Зловмисне вкладення від спам-кампанії, проведеної в Польщі протягом серпня 2023 року. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом серпня 2023 року. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Зловмисне вкладення від спам-кампанії, проведеної в Болгарії протягом серпня 2023 року. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
Зловмисне вкладення від спам-кампанії, проведеної в Словаччині протягом серпня 2023 року. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
Зловмисне вкладення від спам-кампанії, проведеної в Болгарії протягом грудня 2023 року. |
AF021E767E68F6CE1D20 |
zapytanie ofertowe.7z |
Win32/Kryptik.HUQF |
Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року. |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року. |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом вересня 2023 року. |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
Зловмисне вкладення від спам-кампанії, проведеної в Польщі протягом грудня 2023 року. |
FAD97EC6447A699179B0 |
lista zamówień i szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року. |
FB8F64D2FEC152D2D135 |
Pedido.iso |
Win32/Kryptik.HUMF |
Зловмисне вкладення від спам-кампанії, проведеної в Іспанії в серпні 2023 року. |
Методи MITER ATT & CK
Ця таблиця була побудована за допомогою версія 14 рамки MITER ATT & CK.
Тактика |
ID |
ІМ'Я |
Опис |
Розвідка |
Зберіть інформацію про особу жертви: адреси електронної пошти |
Адреси електронної пошти та контактна інформація (куплена або зібрана з загальнодоступних джерел) використовувалися у фішингових кампаніях для націлювання на компанії в багатьох країнах. |
|
Розвиток ресурсів |
Компрометовані облікові записи: облікові записи електронної пошти |
Зловмисники використовували скомпрометовані облікові записи електронної пошти для надсилання фішингових листів у спам-кампаніях, щоб підвищити довіру до спаму. |
|
Отримати можливості: зловмисне програмне забезпечення |
Зловмисники придбали та використовували AceCryptor і Rescoms для фішингових кампаній. |
||
Початковий доступ |
Фішинг |
Зловмисники використовували фішингові повідомлення зі зловмисними вкладеннями, щоб зламати комп’ютери та викрасти інформацію з компаній у багатьох європейських країнах. |
|
Фішинг: вкладення Spearphishing |
Зловмисники використовували підманні повідомлення, щоб скомпрометувати комп’ютери та викрасти інформацію з компаній у багатьох європейських країнах. |
||
Виконання |
Виконання користувача: шкідливий файл |
Зловмисники покладалися на те, що користувачі відкривають і запускають шкідливі файли зі шкідливим програмним забезпеченням, упакованим AceCryptor. |
|
Доступ до облікових даних |
Облікові дані зі сховищ паролів: облікові дані з веб-браузерів |
Зловмисники намагалися викрасти облікові дані з браузерів і поштових клієнтів. |
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :є
- : ні
- :де
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- Здатний
- МЕНЮ
- зловживати
- доступ
- супроводжується
- За
- Рахунки
- через
- діяльності
- діяльність
- актори
- адреси
- радити
- постраждалих
- після
- ВСІ
- нібито
- майже
- вже
- Також
- am
- an
- та
- Андре
- Інший
- будь-який
- крім
- APT
- архів
- ЕСТЬ
- навколо
- AS
- припустити
- At
- нападки
- Спроби
- Серпня
- доступний
- середній
- знати
- B2B
- заснований
- BE
- стали
- оскільки
- було
- поведінка
- за
- блокований
- куплений
- браузер
- браузери
- побудований
- Болгарія
- бізнес
- підприємства
- але
- by
- Caas
- Кампанія
- Кампанії
- CAN
- не може
- можливості
- carried
- випадок
- випадків
- викликаний
- певний
- ланцюг
- зміна
- змінилися
- Зміни
- вибір
- клієнтів
- ближче
- COM
- поєднання
- Компанії
- компанія
- порівняти
- порівняння
- скарга
- всеосяжний
- компроміс
- Компрометація
- комп'ютери
- укладає
- підтвердити
- підключений
- Наслідки
- вважається
- контакт
- містяться
- містить
- зміст
- триває
- навпаки
- може
- країни
- країна
- Курс
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- правдоподібність
- достовірний
- В даний час
- щодня
- Небезпечний
- дані
- Грудень
- Відмова прийняти
- зменшити
- виявляти
- виявлено
- відхилятися
- DID
- різний
- обговорювалися
- обговорення
- розподілений
- домени
- зроблений
- подвійний
- різко
- впав
- два
- під час
- e
- кожен
- Єгипет
- вісім
- або
- Розробити
- повідомлення електронної пошти
- співробітників
- Кінцева точка
- Захист кінцевої точки
- особливо
- Європейська
- Європейські країни
- Навіть
- приклад
- виконання
- існуючий
- досвідчений
- пояснення
- витяг
- факт
- сімей
- сім'я
- далеко
- менше
- Рисунок
- філе
- Файли
- остаточний
- знайти
- Перший
- прапори
- потім
- після
- для
- Вперед
- знайдений
- Рамки
- від
- далі
- Крім того
- Отримувати
- зібраний
- мета
- буде
- великий
- найбільший
- Group
- було
- Половина
- рука
- траплятися
- сталося
- Мати
- число переглядів
- Як
- HTTPS
- сто
- i
- ID
- Особистість
- if
- зображення
- важливо
- in
- У тому числі
- Зареєстрований
- Augmenter
- збільшений
- зростаючий
- показання
- індикатори
- повідомити
- інформація
- початковий
- Запити
- всередині
- Інтелект
- в
- залучений
- ISO
- IT
- сам
- JPEG
- просто
- зберігання
- відомий
- мова
- пізніше
- запущений
- запуск
- вести
- найменш
- законний
- менше
- лист
- ліцензія
- як
- МЕЖА
- ліній
- список
- місцевий
- подивитися
- подивився
- низький
- головним чином
- Більшість
- зробити
- malicious
- шкідливих програм
- багато
- масивний
- згаданий
- згадуючи
- повідомлення
- повідомлення
- Мексика
- може бути
- помилки
- більше
- найбільш
- Найбільш популярний
- в основному
- переміщення
- moving average
- багато
- множинний
- ім'я
- Названий
- Імена
- ніколи
- Примітно,
- номер
- спостерігати
- отримувати
- Очевидний
- of
- Пропозиції
- часто
- on
- ONE
- постійний
- тільки
- відкрити
- відкриття
- Відкриється
- операційний
- операції
- or
- порядок
- виникла
- Інше
- наші
- з
- над
- Pack
- упакований
- сторінка
- приватність
- партнер
- Пароль
- Викрійки
- оплата
- Люди
- period
- періодів
- персонал
- Перу
- phishing
- місце
- plato
- Інформація про дані Платона
- PlatoData
- будь ласка
- точок
- Польща
- полірування
- популярний
- можливостей
- можливість
- це можливо
- потенціал
- поширеність
- поширений
- запобігти
- попередній
- раніше
- приватний
- обробка
- Продукти
- видатний
- властивості
- захищений
- забезпечувати
- публічно
- опублікований
- досить
- цитувати
- підвищення
- вимагачів
- Вимагальні програми
- ЩУР
- Сировина
- причина
- розумний
- рекомендований
- червоний
- Червоні прапори
- відредагований
- що стосується
- зареєстрований
- надійний
- Звіти
- дослідження
- відповідь
- Обмеження
- в результаті
- виявлення
- позбавлений
- атракціони
- право
- s
- то ж
- бачив
- Пошук
- другий
- безпеку
- бачив
- послати
- відправника
- відправка
- посланий
- Вересень
- сербія
- обслуговування
- Послуги
- важкий
- зсув
- Повинен
- Показувати
- показ
- показаний
- значний
- істотно
- підписання
- аналогічний
- простий
- з
- З 2016
- Сер
- So
- Софтвер
- проданий
- деякі
- іноді
- кілька
- Джерела
- Іспанія
- спам
- конкретний
- шип
- шипи
- Поширення
- standard
- почалася
- стан
- статистика
- Як і раніше
- вкрали
- Стоп
- зупинений
- зберігати
- магазинів
- сильний
- структура
- тема
- успішний
- такі
- раптовий
- підходящий
- сплеск
- таблиця
- Мета
- цільове
- націлювання
- цілі
- техніка
- методи
- тензор
- terms
- текст
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- річ
- це
- ті
- хоча?
- загроза
- актори загроз
- Таким чином
- TIE
- час
- Терміни
- до
- разом
- Усього:
- переклад
- Тенденції
- намагався
- потроєння
- Türkiye
- два
- Ukraine
- України
- Unexpected
- створеного
- невідомий
- us
- Використання
- використання
- використовуваний
- користувачі
- використання
- звичайний
- величезний
- версії
- дуже
- Жертва
- жертви
- візит
- було
- хвилі
- шлях..
- we
- Web
- ДОБРЕ
- добре відомі
- були
- Що
- коли
- Чи
- який
- в той час як
- ВООЗ
- чий
- ширина
- Wild
- з
- без
- слово
- світовий
- вартість
- б
- рік
- Ти
- вашу
- зефірнет