Було виявлено нещодавно виявлену панель кібератак під назвою TeslaGun, яка використовується Evil Corp для проведення бекдор-кампаній ServHelper.
Дані, зібрані в результаті аналізу командою Prodraft Threat Intelligence (PTI), показують, що банда програм-вимагачів Evil Corp (відома як TA505 або UNC2165 разом із півдюжиною інших яскравих імен для відстеження) використовувала TeslaGun для проведення масових фішингових кампаній і цільових кампаній проти інших понад 8,000 різних організацій та осіб. Більшість цілей були в США, на які припадало понад 3,600 жертв, з розрізненим міжнародним розподілом за межами цієї території.
Постійно розповсюджується бекдор-зловмисне програмне забезпечення ServHelper, тривалий і постійно оновлюваний пакет, який працює щонайменше з 2019 року. Згідно з звіт від Cisco Talos, підштовхуваний такими механізмами, як підроблені інсталятори та пов’язане з ними зловмисне програмне забезпечення, як-от Raccoon і Amadey.
Недавно, дані про загрози від Trellix Минулого місяця повідомлялося, що нещодавно було виявлено бекдор ServHelper, який пропускає приховані криптомайнери в системах.
Звіт PTI, опублікований у вівторок, розкриває технічні особливості TeslaGun і пропонує деякі деталі та поради, які можуть допомогти підприємствам просунутися вперед із важливими протидіями деяким із переважаючих сьогодні тенденцій бекдор-кібератак.
Бекдор-атаки, які обходять механізми автентифікації та тихо встановлюють стійкість корпоративних систем, є одними з найбільш бентежних для захисників кібербезпеки. Це тому, що ці атаки, як відомо, важко виявити або запобігти за допомогою стандартних засобів безпеки.
Зловмисники диверсифікують свої активи для атак
Дослідники PTI заявили, що під час своїх розслідувань спостерігали за різними профілями та кампаніями жертв, підтверджуючи попередні дослідження, які показали атаки ServHelper шукають жертв у різноманітних одночасних кампаніях. Це типова модель атаки, яка полягає в розкиданні широких воріт для опортуністичних ударів.
«Один екземпляр панелі керування TeslaGun містить кілька записів кампанії, що представляють різні методи доставки та дані про атаку», — пояснюється у звіті. «Новіші версії зловмисного програмного забезпечення кодують ці різні кампанії як ідентифікатори кампаній».
Але кібератаки будуть активно створювати профілі жертв
У той же час TeslaGun містить багато доказів того, що зловмисники створюють профілі жертв, роблять великі нотатки в деяких моментах і проводять цілеспрямовані бекдор-атаки.
«Команда PTI помітила, що головна інформаційна панель панелі TeslaGun містить коментарі, додані до записів жертв. Ці записи показують дані пристроїв жертви, такі як процесор, графічний процесор, розмір оперативної пам’яті та швидкість підключення до Інтернету», – йдеться у звіті, пояснюючи, що це вказує на націлювання на можливості криптомайнінгу. «З іншого боку, згідно з коментарями потерпілих, очевидно, що TA505 активно шукає користувачів онлайн-банкінгу або роздрібних клієнтів, включаючи крипто-гаманці та облікові записи електронної комерції».
У звіті говориться, що більшість жертв працюють у фінансовому секторі, але це не є винятковим.
Перепродаж — важлива частина бекдорної монетизації
Спосіб налаштування параметрів користувача панелі керування надав дослідникам багато інформації про «робочий процес і комерційну стратегію» групи, йдеться у звіті. Наприклад, деякі параметри фільтрації були позначені як «Продати» та «Продати 2», а жертви в цих групах мали протоколи віддаленого робочого столу (RDP), тимчасово вимкнуті через панель.
«Це, ймовірно, означає, що TA505 не може відразу отримати прибуток від експлуатації цих конкретних жертв», - йдеться у звіті. «Замість того, щоб відпустити їх, група позначила RDP-з’єднання цих жертв для перепродажу іншим кіберзлочинцям».
У звіті PTI говориться, що, виходячи зі спостережень дослідників, внутрішня структура групи була «напрочуд неорганізованою», але її члени все ще «ретельно стежать за своїми жертвами та можуть продемонструвати надзвичайне терпіння, особливо щодо цінних жертв у фінансовому секторі».
Аналіз також зазначає, що сильна сторона групи полягає в її гнучкості, що ускладнює прогнозування діяльності та виявлення з часом.
Тим не менш, бекдор-зловмисники не є досконалими, і це може дати деякі підказки для професіоналів кібербезпеки, які хочуть перешкодити їхнім зусиллям.
«Однак у групи є певні слабкі сторони. Хоча TA505 може підтримувати приховані з’єднання на пристроях жертв протягом місяців, його члени часто надзвичайно шумні», – йдеться у звіті. «Після встановлення ServHelper загрозливі особи TA505 можуть вручну підключитися до пристроїв-жертв через тунелювання RDP. Технології безпеки, здатні виявляти ці тунелі, можуть виявитися життєво важливими для перехоплення та пом’якшення бекдор-атак TA505».
Пов’язана з Росією (і під санкціями) Evil Corp була однією з найплідніших груп за останні п’ять років. Відповідно до Уряд США, група є мозковим трестом, що стоїть за фінансовим трояном Dridex, і пов’язана з кампаніями, що використовують варіанти програм-вимагачів, такі як WastedLocker. Він також продовжує відточувати зброю для свого арсеналу; минулого тижня з'ясувалося, що це пов'язано з Інфекції Raspberry Robin.
PTI використовує TA505 для відстеження загрози консенсус твердий але не універсально, що TA505 і Evil Corp — одна група. Звіт минулого місяця від Координаційний центр кібербезпеки сектору охорони здоров’я (HC3) сказав, що «наразі не підтверджує цей висновок».
