Rescoms cưỡi làn sóng thư rác AceCryptor

Năm ngoái ESET đã xuất bản một bài đăng blog về AceCryptor – một trong những dịch vụ mã hóa dưới dạng dịch vụ (CaaS) phổ biến và phổ biến nhất hoạt động kể từ năm 2016. Cho nửa đầu năm 1 chúng tôi đã xuất bản số liệu thống kê từ phép đo từ xa của chúng tôi, theo đó các xu hướng từ các giai đoạn trước vẫn tiếp tục mà không có thay đổi mạnh mẽ.

Tuy nhiên, vào nửa cuối năm 2, chúng tôi đã nhận thấy có sự thay đổi đáng kể về cách sử dụng AceCryptor. Chúng tôi không chỉ đã thấy và chặn được gấp đôi số cuộc tấn công trong H2023 2 so với H2023 1, mà chúng tôi còn nhận thấy rằng Rescoms (còn được gọi là Remcos) đã bắt đầu sử dụng AceCryptor, điều này không xảy ra trước đó.

Phần lớn các mẫu RAT Rescoms được đóng gói trong AceCryptor đã được sử dụng làm vectơ xâm phạm ban đầu trong nhiều chiến dịch thư rác nhắm mục tiêu đến các quốc gia Châu Âu bao gồm Ba Lan, Slovakia, Bulgaria và Serbia.

Các điểm chính của bài đăng blog này:

• AceCryptor tiếp tục cung cấp dịch vụ đóng gói cho hàng chục dòng phần mềm độc hại rất nổi tiếng trong nửa cuối năm 2.
• Mặc dù nổi tiếng nhờ các sản phẩm bảo mật nhưng mức độ phổ biến của AceCryptor không hề có dấu hiệu suy giảm: ngược lại, số vụ tấn công tăng lên đáng kể do các chiến dịch Rescoms.
• AceCryptor là một loại tiền điện tử được các tác nhân đe dọa lựa chọn nhắm mục tiêu vào các quốc gia và mục tiêu cụ thể (ví dụ: các công ty ở một quốc gia cụ thể).
• Trong nửa đầu năm 2, ESET đã phát hiện nhiều chiến dịch AceCryptor+Rescoms ở các nước Châu Âu, chủ yếu là Ba Lan, Bulgaria, Tây Ban Nha và Serbia.
• Trong một số trường hợp, kẻ đe dọa đằng sau các chiến dịch đó đã lạm dụng các tài khoản bị xâm nhập để gửi email spam nhằm khiến chúng trông đáng tin cậy nhất có thể.
• Mục tiêu của các chiến dịch thư rác là lấy thông tin xác thực được lưu trữ trong trình duyệt hoặc ứng dụng email, trong trường hợp xâm phạm thành công sẽ mở ra khả năng cho các cuộc tấn công tiếp theo.

AceCryptor trong H2 2023

Trong nửa đầu năm 2023, ESET đã bảo vệ khoảng 13,000 người dùng khỏi phần mềm độc hại chứa AceCryptor. Trong nửa cuối năm, phần mềm độc hại chứa AceCryptor đã lây lan rộng rãi, với số lượng phát hiện của chúng tôi tăng gấp ba lần, dẫn đến hơn 42,000 người dùng ESET được bảo vệ trên toàn thế giới. Như có thể thấy trong Hình 1, chúng tôi đã phát hiện nhiều làn sóng phần mềm độc hại lây lan đột ngột. Những mức tăng đột biến này cho thấy nhiều chiến dịch thư rác nhắm mục tiêu vào các quốc gia Châu Âu nơi AceCryptor đã đóng gói Rescoms RAT (được thảo luận thêm trong phần Chiến dịch Rescoms phần).

Hơn nữa, khi chúng tôi so sánh số lượng mẫu thô: trong nửa đầu năm 2023, ESET đã phát hiện hơn 23,000 mẫu độc hại duy nhất của AceCryptor; vào nửa cuối năm 2023, chúng tôi “chỉ” phát hiện được hơn 17,000 mẫu duy nhất. Mặc dù điều này có thể bất ngờ nhưng sau khi xem xét kỹ hơn dữ liệu, vẫn có lời giải thích hợp lý. Các chiến dịch thư rác Rescoms đã sử dụng (các) tệp độc hại giống nhau trong các chiến dịch email được gửi tới nhiều người dùng hơn, do đó làm tăng số lượng người gặp phải phần mềm độc hại nhưng vẫn giữ số lượng tệp khác nhau ở mức thấp. Điều này đã không xảy ra trong các giai đoạn trước vì Rescoms gần như không bao giờ được sử dụng kết hợp với AceCryptor. Một lý do khác khiến số lượng mẫu duy nhất giảm là do một số gia đình nổi tiếng dường như đã ngừng (hoặc gần như ngừng) sử dụng AceCryptor làm CaaS của họ. Một ví dụ là phần mềm độc hại Danabot đã ngừng sử dụng AceCryptor; Ngoài ra, RedLine Stealer nổi bật mà người dùng đã ngừng sử dụng AceCryptor nhiều, dựa trên số lượng mẫu AceCryptor chứa phần mềm độc hại đó đã giảm hơn 60%.

Như đã thấy trong Hình 2, AceCryptor vẫn phân phối, ngoài Rescoms, các mẫu từ nhiều họ phần mềm độc hại khác nhau, chẳng hạn như SmokeLoader, STOP ransomware và Vidar đánh cắp.

Trong nửa đầu năm 2023, các quốc gia bị ảnh hưởng nhiều nhất bởi phần mềm độc hại do AceCryptor đóng gói là Peru, Mexico, Ai Cập và Türkiye, trong đó Peru, với 4,700 quốc gia, có số lượng tấn công lớn nhất. Các chiến dịch thư rác của Rescom đã thay đổi đáng kể số liệu thống kê này trong nửa cuối năm. Như có thể thấy trong Hình 3, phần mềm độc hại đóng gói AceCryptor ảnh hưởng đến hầu hết các nước Châu Âu. Cho đến nay, quốc gia bị ảnh hưởng nhiều nhất là Ba Lan, nơi ESET đã ngăn chặn hơn 26,000 cuộc tấn công; tiếp theo là Ukraine, Tây Ban Nha và Serbia. Và điều đáng nói là ở mỗi quốc gia đó, các sản phẩm ESET đã ngăn chặn nhiều cuộc tấn công hơn ở quốc gia bị ảnh hưởng nặng nề nhất trong nửa đầu năm 1, Peru.

Các mẫu AceCryptor mà chúng tôi quan sát thấy trong H2 thường chứa hai họ phần mềm độc hại làm trọng tải: Rescoms và SmokeLoader. Sự tăng đột biến ở Ukraine là do SmokeLoader gây ra. Thực tế này đã được đề cập bởi NSDC của Ukraine. Mặt khác, ở Ba Lan, Slovakia, Bulgaria và Serbia, hoạt động gia tăng là do AceCryptor chứa Rescoms làm trọng tải cuối cùng.

Chiến dịch Rescoms

Trong nửa đầu năm 2023, chúng tôi nhận thấy trong phép đo từ xa của mình có ít hơn một trăm sự cố về mẫu AceCryptor có Rescom bên trong. Trong nửa cuối năm, Rescoms đã trở thành dòng phần mềm độc hại phổ biến nhất do AceCryptor đóng gói, với hơn 32,000 lượt truy cập. Hơn một nửa số nỗ lực này diễn ra ở Ba Lan, tiếp theo là Serbia, Tây Ban Nha, Bulgaria và Slovakia (Hình 4).

Chiến dịch ở Ba Lan

Nhờ phép đo từ xa của ESET, chúng tôi có thể quan sát 2 chiến dịch thư rác quan trọng nhắm mục tiêu vào Ba Lan trong nửa đầu năm 2023. Như có thể thấy trong Hình 5, phần lớn các chiến dịch đó xảy ra vào tháng XNUMX, nhưng cũng có các chiến dịch vào tháng XNUMX và tháng XNUMX.

Tổng cộng, ESET đã ghi nhận hơn 26,000 cuộc tấn công kiểu này ở Ba Lan trong giai đoạn này. Tất cả các chiến dịch thư rác đều nhắm mục tiêu vào các doanh nghiệp ở Ba Lan và tất cả các email đều có dòng chủ đề rất giống nhau về các ưu đãi B2B dành cho các công ty nạn nhân. Để trông đáng tin cậy nhất có thể, những kẻ tấn công đã kết hợp các thủ thuật sau vào email spam:

• Địa chỉ email họ gửi email spam từ các miền bắt chước của các công ty khác. Những kẻ tấn công đã sử dụng một TLD khác, thay đổi một chữ cái trong tên công ty hoặc thứ tự từ trong trường hợp tên công ty có nhiều từ (kỹ thuật này được gọi là đánh máy).
• Đáng chú ý nhất là có nhiều chiến dịch liên quan thỏa hiệp email kinh doanh – những kẻ tấn công lạm dụng tài khoản email bị xâm nhập trước đó của nhân viên công ty khác để gửi email spam. Bằng cách này, ngay cả khi nạn nhân tiềm năng tìm kiếm những lá cờ đỏ thông thường, chúng vẫn không có ở đó và email trông có vẻ hợp pháp nhất có thể.

Những kẻ tấn công đã nghiên cứu và sử dụng tên công ty Ba Lan hiện có, thậm chí cả tên nhân viên/chủ sở hữu hiện tại và thông tin liên hệ khi ký vào các email đó. Điều này được thực hiện để trong trường hợp nạn nhân cố gắng tra Google tên người gửi, việc tìm kiếm sẽ thành công, điều này có thể khiến họ mở tệp đính kèm độc hại.

• Nội dung của email spam trong một số trường hợp đơn giản hơn nhưng trong nhiều trường hợp (như ví dụ trong Hình 6) lại khá phức tạp. Đặc biệt, những phiên bản phức tạp hơn này nên được coi là nguy hiểm vì chúng đi chệch khỏi khuôn mẫu tiêu chuẩn của văn bản chung, vốn thường mắc nhiều lỗi ngữ pháp.

Email hiển thị trong Hình 6 chứa một thông báo, theo sau là thông tin về việc xử lý thông tin cá nhân do người gửi bị cáo buộc thực hiện và khả năng “truy cập vào nội dung dữ liệu của bạn cũng như quyền khắc phục, xóa, hạn chế các hạn chế xử lý, quyền truyền dữ liệu , quyền khiếu nại và quyền khiếu nại lên cơ quan giám sát”. Bản thân thông điệp có thể được dịch như sau:

Dear Sir,

Tôi là Sylwester [đã được biên tập lại] từ [đã được biên tập lại]. Công ty của bạn được một đối tác kinh doanh giới thiệu cho chúng tôi. Vui lòng trích dẫn danh sách đặt hàng đính kèm. Xin vui lòng thông báo cho chúng tôi về các điều khoản thanh toán.

Chúng tôi mong nhận được phản hồi và thảo luận thêm của bạn.

-

Trân trọng,

Tệp đính kèm trong tất cả các chiến dịch trông khá giống nhau (Hình 7). Email chứa một kho lưu trữ đính kèm hoặc tệp ISO có tên ưu đãi/yêu cầu (tất nhiên bằng tiếng Ba Lan), trong một số trường hợp còn kèm theo số đơn đặt hàng. Tệp đó chứa tệp thực thi AceCryptor đã giải nén và khởi chạy Rescom.

Dựa trên hành vi của phần mềm độc hại, chúng tôi giả định rằng mục tiêu của các chiến dịch này là lấy thông tin xác thực về email và trình duyệt, từ đó có được quyền truy cập ban đầu vào các công ty được nhắm mục tiêu. Mặc dù không biết liệu thông tin đăng nhập có được thu thập cho nhóm thực hiện các cuộc tấn công này hay không hay liệu những thông tin bị đánh cắp đó sau đó sẽ được bán cho các tác nhân đe dọa khác hay không, nhưng chắc chắn rằng việc thỏa hiệp thành công sẽ mở ra khả năng xảy ra các cuộc tấn công tiếp theo, đặc biệt là từ các trang phổ biến hiện nay. các cuộc tấn công ransomware.

Điều quan trọng cần nói rõ là Rescoms RAT có thể được mua; do đó nhiều tác nhân đe dọa sử dụng nó trong hoạt động của họ. Các chiến dịch này không chỉ được kết nối bởi sự tương đồng về mục tiêu, cấu trúc tệp đính kèm, văn bản email hoặc các thủ thuật và kỹ thuật được sử dụng để đánh lừa nạn nhân tiềm năng mà còn bởi một số đặc tính ít rõ ràng hơn. Trong chính phần mềm độc hại, chúng tôi có thể tìm thấy các thành phần lạ (ví dụ: ID giấy phép cho Rescom) liên kết các chiến dịch đó lại với nhau, cho thấy rằng nhiều cuộc tấn công trong số này được thực hiện bởi một tác nhân đe dọa.

Các chiến dịch ở Slovakia, Bulgaria và Serbia

Trong cùng khoảng thời gian với các chiến dịch ở Ba Lan, phương pháp đo từ xa của ESET cũng ghi nhận các chiến dịch đang diễn ra ở Slovakia, Bulgaria và Serbia. Các chiến dịch này cũng chủ yếu nhắm mục tiêu vào các công ty địa phương và chúng tôi thậm chí có thể tìm thấy các thành phần trong chính phần mềm độc hại đang liên kết các chiến dịch này với cùng một tác nhân đe dọa đã thực hiện các chiến dịch ở Ba Lan. Tất nhiên, điều quan trọng duy nhất đã thay đổi là ngôn ngữ được sử dụng trong email spam để phù hợp với các quốc gia cụ thể đó.

Chiến dịch ở Tây Ban Nha

Ngoài các chiến dịch đã đề cập trước đó, Tây Ban Nha còn chứng kiến ​​​​sự gia tăng các email spam với Rescoms là trọng tải cuối cùng. Mặc dù chúng tôi có thể xác nhận rằng ít nhất một trong các chiến dịch được thực hiện bởi cùng một kẻ đe dọa như trong những trường hợp trước đây, các chiến dịch khác lại đi theo một mô hình hơi khác. Hơn nữa, ngay cả những hiện vật giống nhau trong các trường hợp trước cũng khác nhau ở những điểm này và do đó, chúng tôi không thể kết luận rằng các chiến dịch ở Tây Ban Nha bắt nguồn từ cùng một địa điểm.

Kết luận

Trong nửa cuối năm 2023, chúng tôi đã phát hiện thấy sự thay đổi trong việc sử dụng AceCryptor – một loại tiền điện tử phổ biến được nhiều tác nhân đe dọa sử dụng để đóng gói nhiều dòng phần mềm độc hại. Mặc dù mức độ phổ biến của một số họ phần mềm độc hại như RedLine Stealer đã giảm nhưng các tác nhân đe dọa khác đã bắt đầu sử dụng nó hoặc thậm chí còn sử dụng nó nhiều hơn cho các hoạt động của họ và AceCryptor vẫn đang phát triển mạnh mẽ. Trong các chiến dịch này, AceCryptor được sử dụng để nhắm mục tiêu vào nhiều quốc gia Châu Âu và để trích xuất thông tin hoặc có quyền truy cập ban đầu vào nhiều công ty. Phần mềm độc hại trong các cuộc tấn công này được phát tán trong các email spam, trong một số trường hợp khá thuyết phục; đôi khi thư rác thậm chí còn được gửi từ các tài khoản email hợp pháp nhưng bị lạm dụng. Vì việc mở tệp đính kèm từ những email như vậy có thể gây ra hậu quả nghiêm trọng cho bạn hoặc công ty của bạn nên chúng tôi khuyên bạn nên lưu ý về nội dung mình đang mở và sử dụng phần mềm bảo mật điểm cuối đáng tin cậy có thể phát hiện phần mềm độc hại.

Đối với bất kỳ câu hỏi nào về nghiên cứu của chúng tôi được công bố trên WeLiveSecurity, vui lòng liên hệ với chúng tôi theo địa chỉ đe dọaintel@eset.com.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .

IoC

Bạn có thể tìm thấy danh sách đầy đủ các Chỉ số Thỏa hiệp (IoC) trong Kho GitHub.

Các tập tin

SHA-1	Tên tập tin	Phát hiện	Mô tả
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Serbia vào tháng 2023 năm XNUMX.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan và Bulgaria trong tháng 2023 năm XNUMX.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Serbia vào tháng 2023 năm XNUMX.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Bulgaria vào tháng 2023 năm XNUMX.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Serbia vào tháng 2023 năm XNUMX.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Bulgaria vào tháng 2023 năm XNUMX.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Slovakia vào tháng 2023 năm XNUMX.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Bulgaria vào tháng 2023 năm XNUMX.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Serbia vào tháng 2023 năm XNUMX.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	liệt kê danh sách zamówień và szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Ba Lan vào tháng 2023 năm XNUMX.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Tệp đính kèm độc hại từ chiến dịch thư rác được thực hiện ở Tây Ban Nha vào tháng 2023 năm XNUMX.

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 14 của khung MITER ATT & CK.

Chiến thuật	ID	Họ tên	Mô tả
Trinh sát	T1589.002	Thu thập Thông tin Nhận dạng Nạn nhân: Địa chỉ Email	Địa chỉ email và thông tin liên hệ (được mua hoặc thu thập từ các nguồn công khai) đã được sử dụng trong các chiến dịch lừa đảo nhằm nhắm mục tiêu vào các công ty trên nhiều quốc gia.
Phát triển nguồn lực	T1586.002	Tài khoản thỏa hiệp: Tài khoản email	Những kẻ tấn công đã sử dụng tài khoản email bị xâm nhập để gửi email lừa đảo trong các chiến dịch thư rác nhằm tăng độ tin cậy của email thư rác.
	T1588.001	Khả năng đạt được: Phần mềm độc hại	Những kẻ tấn công đã mua và sử dụng AceCryptor và Rescom cho các chiến dịch lừa đảo.
Quyền truy cập ban đầu	T1566	Lừa đảo	Những kẻ tấn công đã sử dụng tin nhắn lừa đảo có tệp đính kèm độc hại để xâm nhập máy tính và đánh cắp thông tin từ các công ty ở nhiều quốc gia Châu Âu.
	T1566.001	Lừa đảo: Phần đính kèm Spearphishing	Những kẻ tấn công đã sử dụng các tin nhắn lừa đảo để xâm nhập máy tính và đánh cắp thông tin từ các công ty ở nhiều quốc gia Châu Âu.
Thực hiện	T1204.002	Thực thi người dùng: Tệp độc hại	Những kẻ tấn công dựa vào việc người dùng mở và khởi chạy các tệp độc hại có chứa phần mềm độc hại do AceCryptor đóng gói.
Quyền truy cập thông tin xác thực	T1555.003	Thông tin đăng nhập từ Cửa hàng mật khẩu: Thông tin đăng nhập từ Trình duyệt web	Những kẻ tấn công đã cố gắng đánh cắp thông tin xác thực từ trình duyệt và ứng dụng email.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/