Вредоносная программа PureCrypter поражает правительственные организации вымогателями, инфостилерами

Атаки нацелены на правительственные учреждения с помощью загрузчика вредоносных программ PureCrypter, который, как было замечено, распространяет множество видов стилеров и программ-вымогателей.

Исследователи из Menlo Security обнаружили, что актор использовал Discord для размещения первоначальной полезной нагрузки и скомпрометировал некоммерческую организацию для хранения дополнительных хостов, используемых в кампании.

"Было обнаружено, что кампания распространяла несколько типов вредоносных программ, включая Redline Stealer, Agent Tesla, Eternity, Blackmoon и Philadelphia Ransomware", - говорят исследователи.

По словам исследователей, наблюдаемая кампания PureCrypter была нацелена на многочисленные правительственные организации в Азиатско-Тихоокеанском регионе (APAC) и Северной Америке.

Описание атак

Атака начинается с электронного письма, содержащего URL-адрес Discordapp, для загрузки образца PureCrypter в защищенном паролем ZIP-архиве.

PureCrypter - это загрузчик вредоносных программ на базе .NET, впервые появившийся в сети в марте 2021 года. Его оператор сдает его в аренду другим киберпреступникам для распространения различных типов вредоносных программ.

При выполнении он доставляет полезную нагрузку следующего этапа с сервера командования и контроля, который в данном случае является скомпрометированным сервером некоммерческой организации.

Образец, который проанализировали исследователи из Menlo Security, был AgentTesla. При запуске он устанавливает соединение с базирующимся в Пакистане FTP-сервером, который используется для получения украденных данных.

Исследователи обнаружили, что участники атак использовали утечку учетных данных, чтобы получить контроль над конкретным FTP-сервером, а не настраивать его самостоятельно, чтобы снизить риски идентификации и свести к минимуму их отслеживание.

Рис. Схема цепочки атак (Menlo)

AgentTesla все еще используется

AgentTesla - это семейство вредоносных программ .NET, которые использовались киберпреступниками в течение последних восьми лет. Его использование достигло пика в конце 2020 - начале 2021 года.

В недавнем отчете Cofense подчеркивается, что, несмотря на свой возраст, AgentTesla остается экономически эффективным и высокоэффективным бэкдором, который постоянно развивается и совершенствуется на протяжении многих лет.

Активность кейлоггинга AgentTesla составила примерно треть всех отчетов о кейлоггерах Cofense Intelligence, зарегистрированных в 2022 году.

Возможности вредоносной программы включают следующее:

• Перехват нажатия клавиш жертвы, чтобы получить конфиденциальную информацию, такую как пароли.
• Кража паролей, сохраненных в веб-браузерах, почтовых клиентах или FTP-клиентах.
• Сохранение скриншотов рабочего стола, которые могут раскрыть конфиденциальную информацию.
• Перехват данных, скопированных в буфер обмена, включая текстовые сообщения, пароли и данные кредитной карты.
• Фильтрация и отправка украденных данных на C2 через FTP или SMTP.

В ходе атак, рассмотренных Menlo Labs, было обнаружено, что участники угрозы использовали process hollowing для внедрения полезной нагрузки AgentTesla в легальный процесс (“cvtres.exe ”), чтобы избежать обнаружения антивирусными средствами.

Кроме того, AgentTesla использует шифрование XOR для защиты своих коммуникаций с сервером C2, таких как файлы конфигурации, от средств мониторинга сетевого трафика.

Menlo Security считает, что угроза, стоящая за кампанией PureCrypter, не является серьезной, но стоит следить за ее активностью из-за нацеленности на правительственные учреждения.

Вполне вероятно, что злоумышленник будет продолжать использовать скомпрометированную инфраструктуру как можно дольше, прежде чем будет вынужден найти новую.

Источник: https://www.bleepingcomputer.com/ne...hits-govt-orgs-with-ransomware-info-stealers/