Rescoms 乘势而上 AceCryptor 垃圾邮件浪潮

去年ESET发布了 关于 AceCryptor 的博文 – 自 2016 年以来运营的最受欢迎和最流行的加密货币即服务 (CaaS) 之一。1 年上半年 我们发表了 我们遥测的统计数据表明，之前时期的趋势继续存在，没有发生重大变化。

然而，在 2 年下半年，我们发现 AceCryptor 的使用方式发生了重大变化。与 2023 年上半年相比，我们不仅在 2 年下半年看到并阻止了超过一倍的攻击，而且我们还注意到 Rescoms（也称为 Remcos）开始使用 AceCryptor，而之前的情况并非如此。

绝大多数 AceCryptor 封装的 Rescoms RAT 样本被用作针对波兰、斯洛伐克、保加利亚和塞尔维亚等欧洲国家的多个垃圾邮件活动的初始妥协载体。

这篇博文的要点：

• 2 年下半年，AceCryptor 继续为数十个非常知名的恶意软件家族提供加壳服务。
• 尽管以安全产品而闻名，AceCryptor 的流行率并没有显示出下降的迹象：相反，由于 Rescoms 活动，攻击数量显着增加。
• AceCryptor 是针对特定国家和目标（例如特定国家的公司）的威胁行为者选择的加密器。
• 2 年下半年，ESET 在欧洲国家（主要是波兰、保加利亚、西班牙和塞尔维亚）检测到多个 AceCryptor+Rescoms 活动。
• 在某些情况下，这些活动背后的威胁行为者会滥用受感染的帐户发送垃圾邮件，以使它们看起来尽可能可信。
• 垃圾邮件活动的目标是获取浏览器或电子邮件客户端中存储的凭据，如果成功泄露，将为进一步的攻击提供可能性。

AceCryptor 2 年下半年

2023 年上半年，ESET 保护了约 13,000 名用户免受 AceCryptor 恶意软件的侵害。今年下半年，携带 AceCryptor 的恶意软件在野外传播的数量大幅增加，我们的检测数量增加了两倍，导致全球超过 42,000 名 ESET 用户受到保护。如图 1 所示，我们检测到多波突然的恶意软件传播。这些峰值表明针对欧洲国家的多个垃圾邮件活动，AceCryptor 在这些国家打包了 Rescoms RAT（在 雷斯康斯活动 部分）。

此外，当我们比较原始样本数量时：2023年上半年，ESET检测到超过23,000个AceCryptor的独特恶意样本； 2023 年下半年，我们“仅”看到并检测到了超过 17,000 个独特样本。尽管这可能出乎意料，但仔细查看数据后可以找到合理的解释。 Rescoms 垃圾邮件活动在发送给更多用户的电子邮件活动中使用了相同的恶意文件，从而增加了遇到恶意软件的人数，但仍然保持了较低的不同文件数量。这在之前的时期并没有发生，因为 Rescoms 几乎从未与 AceCryptor 结合使用。独特样本数量减少的另一个原因是一些受欢迎的家庭显然停止（或几乎停止）使用 AceCryptor 作为他们的首选 CaaS。一个例子是 Danabot 恶意软件停止使用 AceCryptor；此外，著名的 RedLine Stealer 的用户也停止使用 AceCryptor，因为包含该恶意软件的 AceCryptor 样本减少了 60% 以上。

如图 2 所示，除了 Rescoms 之外，AceCryptor 仍然分发来自许多不同恶意软件系列的样本，例如 SmokeLoader、STOP 勒索软件和 Vidar Stealer。

2023 年上半年，受 AceCryptor 打包的恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其，其中秘鲁的攻击数量最多，为 4,700 起。 Rescom 的垃圾邮件活动在今年下半年极大地改变了这些统计数据。如图 3 所示，包含 AceCryptor 的恶意软件主要影响欧洲国家。到目前为止，受影响最严重的国家是波兰，ESET 在该国阻止了超过 26,000 次攻击；其次是乌克兰、西班牙和塞尔维亚。而且，值得一提的是，ESET 产品在这些国家/地区中阻止的攻击数量比 1 年上半年受影响最严重的国家/地区（秘鲁）还要多。

我们在 H2 中观察到的 AceCryptor 样本通常包含两个恶意软件系列作为其有效负载：Rescoms 和 SmokeLoader。乌克兰的峰值是由 SmokeLoader 引起的。这个事实已经提到过 乌克兰 NSDC。另一方面，在波兰、斯洛伐克、保加利亚和塞尔维亚，活动增加是由包含 Rescoms 作为最终有效负载的 AceCryptor 引起的。

雷斯康斯活动

2023 年上半年，我们在遥测中看到，含有 Rescoms 的 AceCryptor 样本事件不到 32,000 起。今年下半年，Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族，点击次数超过 4 次。其中一半以上的尝试发生在波兰，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克（图 XNUMX）。

波兰的战役

借助 ESET 遥测技术，我们能够在 2 年下半年观察到八个针对波兰的重大垃圾邮件活动。如图 2023 所示，其中大多数发生在 5 月，但也有活动发生在 XNUMX 月和 XNUMX 月。

在此期间，ESET 在波兰总共记录了超过 26,000 起此类攻击。所有垃圾邮件活动都针对波兰的企业，并且所有电子邮件的主题行都非常相似，涉及为受害公司提供的 B2B 优惠。为了看起来尽可能可信，攻击者在垃圾邮件中加入了以下技巧：

• 他们从其他公司的模仿域发送垃圾邮件的电子邮件地址。攻击者使用不同的 TLD，更改公司名称中的字母或在多单词公司名称的情况下更改单词顺序（这种技术称为误植）。
• 最值得注意的是，涉及多个活动 商业电子邮件泄露 – 攻击者滥用其他公司员工之前被泄露的电子邮件帐户来发送垃圾邮件。这样，即使潜在的受害者寻找通常的危险信号，它们也不在那里，并且电子邮件看起来尽可能合法。

攻击者进行了研究，并在签署这些电子邮件时使用了现有的波兰公司名称，甚至现有的员工/所有者姓名和联系信息。这样做是为了在受害者尝试通过 Google 搜索发件人姓名的情况下，搜索会成功，这可能会导致他们打开恶意附件。

• 垃圾邮件的内容在某些情况下比较简单，但在许多情况下（如图 6 中的示例）相当复杂。尤其是这些更复杂的版本应该被认为是危险的，因为它们偏离了通用文本的标准模式，而通用文本通常充满语法错误。

图 6 所示的电子邮件包含一条消息，后跟有关涉嫌发件人处理个人信息的信息，以及“访问您的数据内容以及纠正、删除、限制处理限制的权利、数据传输的权利”的可能性、提出异议的权利以及向监管机构提出投诉的权利”。消息本身可以这样翻译：

亲爱的主席先生，

我是来自[已编辑]的西尔维斯特[已编辑]。一位业务合作伙伴向我们推荐了贵公司。请引用随附的订单清单。另请告知我们有关付款条件的信息。

我们期待您的回应和进一步讨论。

-

最好的问候，

所有活动中的附件看起来都非常相似（图 7）。电子邮件包含名为报价/询问（当然是波兰语）的附加存档或 ISO 文件，在某些情况下还附有订单号。该文件包含一个 AceCryptor 可执行文件，可以解压并启动 Rescoms。

根据恶意软件的行为，我们假设这些活动的目标是获取电子邮件和浏览器凭据，从而获得对目标公司的初步访问权限。虽然尚不清楚这些凭证是否是为实施这些攻击的组织收集的，或者这些被盗的凭证后来是否会出售给其他威胁行为者，但可以肯定的是，成功的妥协开启了进一步攻击的可能性，特别是来自当前流行的、勒索软件攻击。

需要说明的是，Rescoms RAT 是可以购买的；因此，许多威胁行为者在其行动中使用它。这些活动不仅通过目标相似性、附件结构、电子邮件文本或用于欺骗潜在受害者的技巧和技术来联系，而且还通过一些不太明显的属性来联系。在恶意软件本身中，我们能够找到将这些活动联系在一起的工件（例如，Rescoms 的许可证 ID），这表明其中许多攻击是由一个威胁参与者实施的。

斯洛伐克、保加利亚和塞尔维亚的战役

在波兰开展活动的同一时期，ESET 遥测技术还记录了斯洛伐克、保加利亚和塞尔维亚正在进行的活动。这些活动还主要针对当地公司，我们甚至可以在恶意软件本身中找到工件，将这些活动与在波兰开展活动的同一威胁行为者联系起来。当然，唯一重要的变化是垃圾邮件中使用的语言适合这些特定国家/地区。

西班牙的活动

除了前面提到的活动之外，西班牙还经历了以 Rescoms 作为最终有效负载的垃圾邮件激增。尽管我们可以确认至少其中一项活动是由与之前的案例相同的威胁行为者实施的，但其他活动遵循的模式略有不同。此外，即使是与之前案例中相同的文物，在这些案例中也有所不同，因此，我们不能得出结论说西班牙的活动起源于同一个地方。

结论

2023 年下半年，我们检测到 AceCryptor 的使用发生了变化，AceCryptor 是一种流行的加密器，被多个威胁参与者用来打包许多恶意软件系列。尽管 RedLine Stealer 等一些恶意软件系列的流行率有所下降，但其他威胁参与者开始使用它或更多地使用它进行活动，而 AceCryptor 仍然表现强劲。在这些活动中，AceCryptor 被用来针对多个欧洲国家，并提取信息或获得多家公司的初步访问权。这些攻击中的恶意软件通过垃圾邮件传播，在某些情况下非常令人信服；有时，垃圾邮件甚至是从合法但被滥用的电子邮件帐户发送的。由于打开此类电子邮件中的附件可能会给您或您的公司带来严重后果，因此我们建议您了解您正在打开的内容，并使用能够检测恶意软件的可靠端点安全软件。

如果对我们在 WeLiveSecurity 上发表的研究有任何疑问，请通过以下方式联系我们 威胁intel@eset.com.
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询，请访问 ESET 威胁情报 页面上发布服务提醒。

国际石油公司

妥协指标 (IoC) 的完整列表可以在我们的 GitHub存储库.

档

SHA-1	文件名	检测	课程描述
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	扎皮坦尼.7z	Win32/Kryptik.HUNX	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	2023 年 XNUMX 月在波兰和保加利亚开展的垃圾邮件活动产生的恶意附件。
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	2023 年 XNUMX 月在保加利亚开展的垃圾邮件活动产生的恶意附件。
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	2023 年 XNUMX 月在保加利亚开展的垃圾邮件活动产生的恶意附件。
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	2023 年 XNUMX 月在斯洛伐克开展的垃圾邮件活动产生的恶意附件。
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	2023 年 XNUMX 月在保加利亚开展的垃圾邮件活动产生的恶意附件。
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	扎皮塔尼·奥弗托韦.7z	Win32/Kryptik.HUQF	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	列表 zamówień 和 szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	佩迪多·伊索	Win32/Kryptik.HUMF	2023 年 XNUMX 月在西班牙开展的垃圾邮件活动产生的恶意附件。

MITRE ATT&CK 技术

该表是使用 14版 MITRE ATT&CK 框架。

战术	ID	名字	课程描述
侦察	T1589.002	收集受害者身份信息：电子邮件地址	电子邮件地址和联系信息（从公开来源购买或收集）被用于网络钓鱼活动，以多个国家/地区的公司为目标。
资源开发	T1586.002	受损帐户：电子邮件帐户	攻击者使用受损的电子邮件帐户在垃圾邮件活动中发送网络钓鱼电子邮件，以提高垃圾邮件的可信度。
	T1588.001	获取能力：恶意软件	攻击者购买并使用 AceCryptor 和 Rescoms 进行网络钓鱼活动。
初始访问	T1566	網絡釣魚	攻击者使用带有恶意附件的网络钓鱼邮件来破坏计算机并窃取多个欧洲国家公司的信息。
	T1566.001	网络钓鱼：鱼叉式钓鱼附件	攻击者使用鱼叉式网络钓鱼消息来破坏计算机并窃取多个欧洲国家公司的信息。
执行	T1204.002	用户执行：恶意文件	攻击者依靠用户打开和启动包含 AceCryptor 打包的恶意软件的恶意文件。
凭证访问	T1555.003	来自密码存储的凭据：来自 Web 浏览器的凭据	攻击者试图从浏览器和电子邮件客户端窃取凭据信息。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/