一个新发现的名为 TeslaGun 的网络攻击面板已经被发现,Evil Corp 使用它来运行 ServHelper 后门活动。
Prodraft Threat Intelligence (PTI) 团队分析收集的数据显示,Evil Corp 勒索软件团伙(又名 TA505 或 UNC2165,以及六个其他色彩缤纷的跟踪名称)已使用 TeslaGun 开展大规模网络钓鱼活动和针对性活动,针对更多超过 8,000 个不同的组织和个人。 大多数目标都在美国,占受害者的 3,600 多人,除此之外还有分散的国际分布。
ServHelper 后门恶意软件一直在持续扩展,这是一个长期运行且不断更新的软件包,至少从 2019 年开始就一直在运行。根据一份报告,它在 2021 年下半年再次开始流行起来 来自 Cisco Talos 的报告,受到假安装程序和相关安装程序恶意软件(如 Raccoon 和 Amadey)等机制的刺激。
最近, 来自 Trellix 的威胁情报 上个月报道称,最近发现 ServHelper 后门会在系统上投放隐藏的加密矿工。
PTI 报告,周二发布,深入研究了 TeslaGun 背后的技术细节,并提供了一些细节和技巧,可以帮助企业采取重要的对策来应对当今一些流行的后门网络攻击趋势。
绕过身份验证机制并在企业系统上悄悄建立持久性的后门攻击是最令网络安全捍卫者不安的攻击之一。 这是因为众所周知,这些攻击很难通过标准安全控制来检测或预防。
后门攻击者分散他们的攻击资产
PTI 研究人员表示,他们在调查期间观察到范围广泛的不同受害者概况和活动,支持之前的研究,该研究表明 ServHelper 攻击正在各种同步活动中拖网捕捞受害者。 这是一种为机会主义命中广撒网的商标攻击模式。
“TeslaGun 控制面板的单个实例包含代表不同交付方法和攻击数据的多个活动记录,”报告解释说。 “较新版本的恶意软件将这些不同的活动编码为活动 ID。”
但网络攻击者会积极描述受害者
与此同时,TeslaGun 包含大量证据表明攻击者正在对受害者进行分析,在某些时候做大量笔记,并进行有针对性的后门攻击。
“PTI 团队观察到 TeslaGun 面板的主仪表板包含附在受害者记录上的评论。 这些记录显示了受害者设备数据,例如 CPU、GPU、RAM 大小和互联网连接速度,”报告称,并解释说这表明针对加密货币挖矿机会。 “另一方面,根据受害者的评论,很明显 TA505 正在积极寻找网上银行或零售用户,包括加密钱包和电子商务账户。”
该报告称,大多数受害者似乎都在金融部门开展业务,但这一目标并非排他性的。
转售是后门货币化的重要组成部分
报告称,控制面板用户选项的设置方式为研究人员提供了大量关于该组织“工作流程和商业策略”的信息。 例如,一些过滤选项被标记为“Sell”和“Sell 2”,这些组中的受害者通过面板暂时禁用了远程桌面协议 (RDP)。
“这可能意味着 TA505 无法立即从剥削这些特定受害者中获利,”报告称。 “该组织没有放过他们,而是标记了这些受害者的 RDP 连接,以便转售给其他网络犯罪分子。”
PTI 报告称,根据研究人员的观察,该组织的内部结构“出奇地杂乱无章”,但其成员仍“仔细监控受害者,并表现出非凡的耐心,尤其是对金融领域的高价值受害者。”
分析进一步指出,该组织的优势在于其敏捷性,这使得随着时间的推移难以预测活动和检测。
然而,后门攻击者并不完美,这可以为希望阻止他们的努力的网络安全专家提供一些线索。
“然而,该组织确实表现出一些明显的弱点。 虽然 TA505 可以在受害者的设备上保持隐藏连接数月之久,但其成员通常异常嘈杂,”报告称。 “安装 ServHelper 后,TA505 威胁参与者可能会通过 RDP 隧道手动连接到受害者设备。 能够检测这些隧道的安全技术可能被证明对于捕获和减轻 TA505 的后门攻击至关重要。”
与俄罗斯有联系(并受到制裁)的 Evil Corp 是过去五年中最多产的组织之一。 根据 美国政府,该组织是金融木马 Dridex 背后的智囊团,并与使用 WastedLocker 等勒索软件变体的活动有关联。 它还继续为其武器库磨练大量武器。 上周,它被发现与 覆盆子知更鸟感染.
PTI 使用 TA505 跟踪威胁,并且 共识是坚定的 但并不普遍认为 TA505 和 Evil Corp 是同一组。 上个月的一份报告 卫生部门网络安全协调中心 (HC3) 表示“目前不支持该结论”。
