Rescoms керує хвилями спаму AceCryptor

Минулого року ESET опублікувала a допис у блозі про AceCryptor – один із найпопулярніших і найпоширеніших крипторів як послуга (CaaS), який працює з 2016 року. Для першого півріччя 1 року ми опублікували статистика з нашої телеметрії, згідно з якою тенденції попередніх періодів зберігаються без кардинальних змін.

Однак у другій половині 2 року ми зареєстрували значні зміни у використанні AceCryptor. Ми не тільки спостерігали та блокували вдвічі більше атак у другому півріччі 2023 року порівняно з першим півріччям 2 року, але ми також помітили, що Rescoms (також відомий як Remcos) почав використовувати AceCryptor, чого не було раніше.

Переважна більшість зразків Rescoms RAT, наповнених AceCryptor, використовувалися як початковий вектор компрометації в численних спам-кампаніях, націлених на європейські країни, включаючи Польщу, Словаччину, Болгарію та Сербію.

Ключові моменти цього блогу:

• У другому півріччі 2 року AceCryptor продовжував надавати послуги пакування десяткам дуже відомих сімейств шкідливого програмного забезпечення.
• Незважаючи на те, що AceCryptor добре відомий продуктами безпеки, поширеність AceCryptor не демонструє ознак зниження: навпаки, кількість атак значно зросла завдяки кампаніям Rescoms.
• AceCryptor — це шифратор, який вибирають суб’єкти загроз, націлені на конкретні країни та цілі (наприклад, компанії в певній країні).
• У другому півріччі 2 року ESET виявила численні кампанії AceCryptor+Rescoms у європейських країнах, переважно в Польщі, Болгарії, Іспанії та Сербії.
• Зловмисник, який стоїть за цими кампаніями, у деяких випадках зловживав скомпрометованими обліковими записами для надсилання спаму, щоб вони виглядали якомога більш достовірними.
• Метою спам-кампаній було отримати облікові дані, що зберігаються в браузерах або клієнтах електронної пошти, які в разі успішної компрометації відкриють можливості для подальших атак.

AceCryptor у другій половині 2 року

У першій половині 2023 року ESET захистила близько 13,000 42,000 користувачів від зловмисного програмного забезпечення, наповненого AceCryptor. У другій половині року відбулося значне зростання шкідливого програмного забезпечення, заповненого AceCryptor, яке поширювалося в дикій природі, причому кількість наших виявлень потроїлася, що призвело до того, що понад 1 XNUMX захищених користувачів ESET по всьому світу. Як видно на малюнку XNUMX, ми виявили численні раптові хвилі поширення зловмисного програмного забезпечення. Ці сплески вказують на численні спам-кампанії, націлені на європейські країни, де AceCryptor запакував Rescoms RAT (більше обговорюється в Кампанії Rescoms розділ)

Крім того, якщо порівняти необроблену кількість зразків: у першій половині 2023 року ESET виявила понад 23,000 2023 унікальних шкідливих зразків AceCryptor; у другій половині 17,000 року ми побачили та виявили «лише» понад 60 XNUMX унікальних зразків. Незважаючи на те, що це може бути неочікуваним, після більш детального вивчення даних є розумне пояснення. Спам-кампанії Rescoms використовували ті самі шкідливі файли в кампаніях електронної пошти, надісланих більшій кількості користувачів, таким чином збільшуючи кількість людей, які зіткнулися зі зловмисним програмним забезпеченням, але все ще зберігаючи низьку кількість різних файлів. Цього не траплялося в попередні періоди, оскільки Rescoms майже ніколи не використовувався в поєднанні з AceCryptor. Ще одна причина зменшення кількості унікальних зразків полягає в тому, що деякі популярні родини, очевидно, перестали (або майже перестали) використовувати AceCryptor як свій вихід на CaaS. Прикладом є зловмисне програмне забезпечення Danabot, яке перестало використовувати AceCryptor; також відомий RedLine Stealer, користувачі якого перестали використовувати AceCryptor так часто, на основі зменшення більш ніж на XNUMX% зразків AceCryptor, що містять це шкідливе програмне забезпечення.

Як видно на малюнку 2, AceCryptor досі розповсюджує, окрім Rescoms, зразки з багатьох різних сімейств шкідливих програм, таких як SmokeLoader, STOP ransomware і Vidar stealer.

У першій половині 2023 року країнами, які найбільше постраждали від зловмисного програмного забезпечення, упакованого AceCryptor, були Перу, Мексика, Єгипет і Туреччина, де Перу (4,700) мала найбільшу кількість атак. Спам-кампанії Rescoms різко змінили цю статистику в другій половині року. Як видно на малюнку 3, зловмисне програмне забезпечення AceCryptor вразило переважно європейські країни. Найбільш постраждала країна – Польща, де ESET запобігла понад 26,000 1 атак; далі йдуть Україна, Іспанія та Сербія. І варто зазначити, що в кожній із цих країн продукти ESET запобігли більшій кількості атак, ніж у найбільш постраждалій країні в першому півріччі 2023 року – Перу.

Зразки AceCryptor, які ми спостерігали в H2, часто містили два сімейства зловмисних програм як корисне навантаження: Rescoms і SmokeLoader. Сплеск в Україні викликав SmokeLoader. Цей факт уже згадувався РНБО України. З іншого боку, у Польщі, Словаччині, Болгарії та Сербії підвищена активність була спричинена AceCryptor, що містить Rescoms як кінцеве корисне навантаження.

Кампанії Rescoms

У першій половині 2023 року ми бачили в нашій телеметрії менше сотні інцидентів із зразками AceCryptor із Rescoms всередині. Протягом другої половини року Rescoms став найпоширенішим сімейством шкідливих програм, упакованих AceCryptor, із понад 32,000 4 відвідувань. Понад половина цих спроб сталася в Польщі, за якою йдуть Сербія, Іспанія, Болгарія та Словаччина (рис. XNUMX).

Акції в Польщі

Завдяки телеметрії ESET ми змогли спостерігати вісім значних спам-кампаній, націлених на Польщу, у другій половині 2 року. Як видно на малюнку 2023, більшість із них відбулася у вересні, але були також кампанії в серпні та грудні.

Загалом ESET за цей період зареєструвала понад 26,000 2 таких атак у Польщі. Усі спам-кампанії були націлені на підприємства в Польщі, і всі електронні листи мали дуже схожі теми про пропозиції BXNUMXB для компаній-жертв. Щоб виглядати максимально правдоподібно, зловмисники застосували в спам-листах такі прийоми:

• Адреси електронної пошти, на які вони надсилали спам із імітованих доменів інших компаній. Зловмисники використовували інший домен верхнього рівня, змінювали літеру в назві компанії або порядок слів у випадку назви компанії з кількох слів (цей прийом відомий як друкарський набір).
• Найважливішим є те, що задіяно кілька кампаній компроміс ділової електронної пошти – зловмисники зловживали раніше зламаними обліковими записами електронної пошти інших співробітників компанії для надсилання спаму. Таким чином, навіть якщо потенційна жертва шукала звичайні червоні прапорці, їх просто не було, і електронний лист виглядав максимально законним.

Зловмисники провели дослідження та використали існуючі назви польських компаній і навіть існуючі імена співробітників/власників і контактну інформацію, підписуючи ці електронні листи. Це було зроблено для того, щоб у випадку, якщо жертва спробує знайти ім’я відправника в Google, пошук буде успішним, що може призвести до відкриття шкідливого вкладення.

• Вміст спаму в деяких випадках був простішим, але в багатьох випадках (як у прикладі на малюнку 6) досить складним. Особливо ці складніші версії слід вважати небезпечними, оскільки вони відхиляються від стандартної моделі загального тексту, який часто рясніє граматичними помилками.

Електронний лист, показаний на малюнку 6, містить повідомлення, за яким слідує інформація про обробку персональної інформації, здійснену передбачуваним відправником, і можливість «отримати доступ до вмісту ваших даних і право виправляти, видаляти, обмежувати обмеження обробки, право на передачу даних. , право подати заперечення та право подати скаргу до контролюючого органу». Саме повідомлення можна перекласти так:

Шановні панове,

Я Сильвестр [відредаговано] з [відредаговано]. Вашу компанію порекомендував нам бізнес-партнер. Будь ласка, вкажіть список замовлень, що додається. Також повідомте нам про умови оплати.

Ми з нетерпінням чекаємо вашої відповіді та подальшого обговорення.

-

З найкращими побажаннями,

Вкладення в усіх кампаніях виглядали досить схожими (рис. 7). Електронні листи містили прикріплений архів або ISO-файл під назвою «пропозиція/запит» (звичайно польською мовою), у деяких випадках також супроводжувався номером замовлення. Цей файл містив виконуваний файл AceCryptor, який розпакував і запустив Rescoms.

Виходячи з поведінки зловмисного програмного забезпечення, ми припускаємо, що ціль цих кампаній полягала в тому, щоб отримати облікові дані електронної пошти та браузера та таким чином отримати початковий доступ до цільових компаній. Хоча невідомо, чи були зібрані облікові дані для групи, яка здійснила ці атаки, чи ці викрадені облікові дані будуть пізніше продані іншим суб’єктам загрози, безсумнівно, що успішна компрометація відкриває можливість для подальших атак, особливо з боку популярних наразі атаки програм-вимагачів.

Важливо зазначити, що Rescoms RAT можна купити; тому багато загрозливих акторів використовують його у своїх операціях. Ці кампанії пов’язані не лише схожістю цілей, структурою вкладень, текстом електронної пошти чи прийомами та техніками, які використовуються для обману потенційних жертв, а й деякими менш очевидними властивостями. У самому зловмисному програмному забезпеченні ми змогли знайти артефакти (наприклад, ідентифікатор ліцензії для Rescoms), які пов’язують ці кампанії разом, показуючи, що багато з цих атак були здійснені одним загрозливим суб’єктом.

Кампанії в Словаччині, Болгарії та Сербії

Протягом тих же періодів часу, що й кампанії в Польщі, телеметрія ESET також зареєструвала поточні кампанії в Словаччині, Болгарії та Сербії. Ці кампанії також були в основному націлені на місцеві компанії, і ми навіть можемо знайти артефакти в самому зловмисному програмному забезпеченні, які пов’язують ці кампанії з тим самим загрозливим суб’єктом, який проводив кампанії в Польщі. Єдина важлива річ, яка змінилася, це, звичайно, мова, яка використовується в спам-листах, щоб відповідати цим конкретним країнам.

Кампанії в Іспанії

Окрім згаданих раніше кампаній, в Іспанії також спостерігався сплеск спаму з Rescoms як останнє корисне навантаження. Незважаючи на те, що ми можемо підтвердити, що принаймні одну з кампаній проводив той самий загрозливий суб’єкт, що й у цих попередніх випадках, інші кампанії мали дещо іншу схему. Крім того, навіть артефакти, які були однаковими в попередніх випадках, відрізнялися цим, і через це ми не можемо зробити висновок, що кампанії в Іспанії походять з того самого місця.

Висновок

У другій половині 2023 року ми помітили зміни у використанні AceCryptor – популярного шифрувальника, який використовується кількома загрозливими суб’єктами для упаковки багатьох сімейств шкідливого програмного забезпечення. Незважаючи на те, що поширеність деяких сімей зловмисного програмного забезпечення, як-от RedLine Stealer, зменшилася, інші суб’єкти загрози почали використовувати його або ще більше використовували для своєї діяльності, і AceCryptor все ще є сильним. У цих кампаніях AceCryptor використовувався для націлювання на кілька європейських країн і для отримання інформації. або отримати початковий доступ до кількох компаній. Зловмисне програмне забезпечення в цих атаках поширювалося в спам-листах, які в деяких випадках були досить переконливими; іноді спам надсилався навіть із законних, але зловживаних облікових записів електронної пошти. Оскільки відкриття вкладень із таких електронних листів може мати серйозні наслідки для вас або вашої компанії, ми рекомендуємо вам знати, що ви відкриваєте, і використовувати надійне програмне забезпечення для захисту кінцевих точок, здатне виявити зловмисне програмне забезпечення.

З будь-якими запитами щодо нашого дослідження, опублікованого на WeLiveSecurity, зв’яжіться з нами за адресою prijetintel@eset.com.
ESET Research пропонує приватні звіти APT та канали даних. Якщо у вас є запитання щодо цієї послуги, відвідайте ESET Threat Intelligence стр.

IoCs

Повний перелік індикаторів компромісу (IoC) можна знайти в нашому GitHub сховище.

Файли

SHA-1	ім'я файлу	Виявлення	Опис
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом грудня 2023 року.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	запитання.7з	Win32/Kryptik.HUNX	Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Зловмисне вкладення від спам-кампанії, проведеної в Польщі та Болгарії протягом вересня 2023 року.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом вересня 2023 року.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Зловмисне вкладення від спам-кампанії, проведеної в Болгарії протягом вересня 2023 року.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Зловмисне вкладення від спам-кампанії, проведеної в Польщі протягом серпня 2023 року.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом серпня 2023 року.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Зловмисне вкладення від спам-кампанії, проведеної в Болгарії протягом серпня 2023 року.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Зловмисне вкладення від спам-кампанії, проведеної в Словаччині протягом серпня 2023 року.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Зловмисне вкладення від спам-кампанії, проведеної в Болгарії протягом грудня 2023 року.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Зловмисне вкладення від спам-кампанії, проведеної в Сербії протягом вересня 2023 року.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Зловмисне вкладення від спам-кампанії, проведеної в Польщі протягом грудня 2023 року.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Зловмисне вкладення спам-кампанії, проведеної в Польщі у вересні 2023 року.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Зловмисне вкладення від спам-кампанії, проведеної в Іспанії в серпні 2023 року.

Методи MITER ATT & CK

Ця таблиця була побудована за допомогою версія 14 рамки MITER ATT & CK.

Тактика	ID	ІМ'Я	Опис
Розвідка	T1589.002	Зберіть інформацію про особу жертви: адреси електронної пошти	Адреси електронної пошти та контактна інформація (куплена або зібрана з загальнодоступних джерел) використовувалися у фішингових кампаніях для націлювання на компанії в багатьох країнах.
Розвиток ресурсів	T1586.002	Компрометовані облікові записи: облікові записи електронної пошти	Зловмисники використовували скомпрометовані облікові записи електронної пошти для надсилання фішингових листів у спам-кампаніях, щоб підвищити довіру до спаму.
	T1588.001	Отримати можливості: зловмисне програмне забезпечення	Зловмисники придбали та використовували AceCryptor і Rescoms для фішингових кампаній.
Початковий доступ	T1566	Фішинг	Зловмисники використовували фішингові повідомлення зі зловмисними вкладеннями, щоб зламати комп’ютери та викрасти інформацію з компаній у багатьох європейських країнах.
	T1566.001	Фішинг: вкладення Spearphishing	Зловмисники використовували підманні повідомлення, щоб скомпрометувати комп’ютери та викрасти інформацію з компаній у багатьох європейських країнах.
Виконання	T1204.002	Виконання користувача: шкідливий файл	Зловмисники покладалися на те, що користувачі відкривають і запускають шкідливі файли зі шкідливим програмним забезпеченням, упакованим AceCryptor.
Доступ до облікових даних	T1555.003	Облікові дані зі сховищ паролів: облікові дані з веб-браузерів	Зловмисники намагалися викрасти облікові дані з браузерів і поштових клієнтів.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/