Một bảng điều khiển tấn công mạng mới được phát hiện có tên TeslaGun đã được phát hiện, được Evil Corp sử dụng để chạy các chiến dịch cửa hậu ServHelper.
Dữ liệu thu thập được từ một phân tích của nhóm Prodraft Threat Intelligence (PTI) cho thấy băng nhóm ransomware Evil Corp (còn gọi là TA505 hoặc UNC2165, cùng với nửa tá tên theo dõi đầy màu sắc khác) đã sử dụng TeslaGun để thực hiện các chiến dịch lừa đảo hàng loạt và các chiến dịch nhắm mục tiêu chống lại hơn 8,000 tổ chức và cá nhân khác nhau. Phần lớn các mục tiêu là ở Mỹ, nơi chiếm hơn 3,600 nạn nhân, với sự phân bố rải rác ra quốc tế bên ngoài.
Theo một báo cáo, phần mềm độc hại cửa sau ServHelper đang tiếp tục mở rộng, một gói chạy lâu dài và được cập nhật liên tục, bắt đầu hoạt động ít nhất từ năm 2019. Nó bắt đầu phát triển trở lại vào nửa cuối năm 2021. báo cáo từ Cisco Talos, được thúc đẩy bởi các cơ chế như trình cài đặt giả mạo và phần mềm độc hại liên quan đến trình cài đặt như Raccoon và Amadey.
Gần đây nhất, thông tin về mối đe dọa từ Trellix tháng trước đã báo cáo rằng cửa hậu ServHelper gần đây đã bị phát hiện đánh rơi các trình mã hóa ẩn trên các hệ thống.
Báo cáo PTI, phát hành hôm thứ Ba, đi sâu vào các chi tiết kỹ thuật cụ thể đằng sau TeslaGun, đồng thời đưa ra một số chi tiết và mẹo có thể giúp các doanh nghiệp tiến lên với các biện pháp đối phó quan trọng đối với một số xu hướng tấn công mạng backdoor đang thịnh hành hiện nay.
Các cuộc tấn công bằng cửa sau nhằm phá vỡ các cơ chế xác thực và âm thầm thiết lập sự tồn tại lâu dài trên hệ thống doanh nghiệp là một trong những vấn đề khiến những người bảo vệ an ninh mạng bối rối nhất. Đó là vì những cuộc tấn công này nổi tiếng là khó phát hiện hoặc ngăn chặn bằng các biện pháp kiểm soát bảo mật tiêu chuẩn.
Những kẻ tấn công cửa hậu đa dạng hóa tài sản tấn công của họ
Các nhà nghiên cứu của PTI cho biết họ đã quan sát nhiều loại hồ sơ nạn nhân và chiến dịch khác nhau trong quá trình điều tra, hỗ trợ nghiên cứu trước đó cho thấy các cuộc tấn công ServHelper đang truy lùng nạn nhân trong nhiều chiến dịch đồng thời. Đây là một mô hình tấn công thương hiệu của việc giăng một lưới rộng cho những cú đánh có cơ hội.
Báo cáo giải thích: “Một phiên bản duy nhất của bảng điều khiển TeslaGun chứa nhiều bản ghi chiến dịch đại diện cho các phương thức phân phối và dữ liệu tấn công khác nhau”. “Các phiên bản mới hơn của phần mềm độc hại mã hóa các chiến dịch khác nhau này dưới dạng ID chiến dịch.”
Nhưng những kẻ tấn công mạng sẽ chủ động lập hồ sơ nạn nhân
Đồng thời, TeslaGun chứa nhiều bằng chứng cho thấy những kẻ tấn công đang khai thác hồ sơ nạn nhân, ghi chép phong phú ở một số điểm và tiến hành các cuộc tấn công cửa hậu có chủ đích.
“Nhóm PTI quan sát thấy bảng điều khiển chính của bảng TeslaGun bao gồm các nhận xét đính kèm với hồ sơ nạn nhân. Các hồ sơ này hiển thị dữ liệu thiết bị nạn nhân như CPU, GPU, kích thước RAM và tốc độ kết nối internet”, báo cáo cho biết, giải thích điều này cho thấy việc nhắm mục tiêu vào các cơ hội khai thác tiền điện tử. “Mặt khác, theo nhận xét của nạn nhân, rõ ràng TA505 đang tích cực tìm kiếm người dùng ngân hàng hoặc bán lẻ trực tuyến, bao gồm cả ví tiền điện tử và tài khoản thương mại điện tử.”
Báo cáo cho biết hầu hết các nạn nhân dường như hoạt động trong lĩnh vực tài chính nhưng việc nhắm mục tiêu này không phải là loại trừ.
Bán lại là một phần quan trọng của kiếm tiền từ cửa hậu
Báo cáo cho biết cách thiết lập các tùy chọn người dùng của bảng điều khiển đã cung cấp cho các nhà nghiên cứu rất nhiều thông tin về “quy trình làm việc và chiến lược thương mại” của nhóm. Ví dụ: một số tùy chọn lọc được gắn nhãn “Bán” và “Bán 2” với những nạn nhân trong các nhóm này có giao thức máy tính từ xa (RDP) tạm thời bị vô hiệu hóa thông qua bảng điều khiển.
Theo báo cáo, “Điều này có thể có nghĩa là TA505 không thể kiếm được lợi nhuận ngay lập tức từ việc khai thác những nạn nhân cụ thể đó”. “Thay vì để chúng đi, nhóm đã gắn thẻ các kết nối RDP của nạn nhân đó để bán lại cho tội phạm mạng khác.”
Báo cáo của PTI cho biết, dựa trên quan sát của các nhà nghiên cứu, cơ cấu nội bộ của nhóm “vô tổ chức một cách đáng ngạc nhiên” nhưng các thành viên của nhóm vẫn “theo dõi cẩn thận nạn nhân của mình và có thể thể hiện sự kiên nhẫn đáng kể, đặc biệt là với những nạn nhân có giá trị cao trong lĩnh vực tài chính”.
Phân tích lưu ý thêm rằng điểm mạnh của nhóm là sự nhanh nhẹn, khó dự đoán hoạt động và phát hiện theo thời gian.
Tuy nhiên, những kẻ tấn công cửa sau không hoàn hảo và điều này có thể cung cấp một số manh mối cho các chuyên gia an ninh mạng đang tìm cách ngăn chặn nỗ lực của chúng.
“Tuy nhiên, nhóm này bộc lộ một số điểm yếu rõ ràng. Mặc dù TA505 có thể duy trì các kết nối ẩn trên thiết bị của nạn nhân trong nhiều tháng nhưng các thành viên của nó thường ồn ào bất thường”, báo cáo cho biết. “Sau khi cài đặt ServHelper, kẻ tấn công TA505 có thể kết nối thủ công với thiết bị nạn nhân thông qua đường hầm RDP. Các công nghệ bảo mật có khả năng phát hiện các đường hầm này có thể đóng vai trò quan trọng trong việc phát hiện và giảm thiểu các cuộc tấn công cửa sau của TA505.”
Evil Corp do Nga liên kết (và bị trừng phạt) là một trong những nhóm hoạt động hiệu quả nhất trong XNUMX năm qua. Theo Chính phủ Hoa Kỳ, nhóm này là tổ chức tin cậy đằng sau Trojan tài chính Dridex và có liên kết với các chiến dịch sử dụng các biến thể ransomware như WastedLocker. Nó cũng tiếp tục trau dồi một loạt vũ khí cho kho vũ khí của mình; tuần trước, người ta phát hiện ra rằng nó có liên quan đến Nhiễm trùng Raspberry Robin.
PTI sử dụng TA505 để theo dõi mối đe dọa và sự đồng thuận là vững chắc nhưng không phổ biến rằng TA505 và Evil Corp là cùng một nhóm. Một báo cáo tháng trước từ Trung tâm Điều phối An ninh Mạng Khu vực Y tế (HC3) cho biết nó "hiện không ủng hộ kết luận đó."
