Rohkem kui 11,000 XNUMX Austraalia ettevõtet oli hiljutise küberrünnakute laine sihtmärgiks, mis põhinevad vananeval, kuid endiselt ohtlikul pahavara tüvel, mille nimeks on Agent Tesla.

Potentsiaalseid ohvreid pommitasid lõksus olevad e-kirjad meelitustega kaupade ostmise kohta ja tellimuste kohaletoimetamise päringud, mis olid varustatud pahatahtliku manusega. Ohvrid, keda meelitati manust avama, paljastasid oma Windowsi arvutid Agent Tesla nakkustele.

Agent Tesla on kaugjuurdepääsuga troojalane (RAT), mis ilmus esmakordselt 2014. aastal. Check Point Software'i teadlaste sõnul on pahavara laialt levinud ja seda kasutavad sageli mitmesugused ohus osalejad, sealhulgas küberkurjategijad ja spioonid.

Check Pointi küberjulgeoleku-, teadusuuringute ja innovatsioonijuht Alexander Chailytko ütleb, et ohus osalejad on agent Tesla võimete vastu "välja arendanud usalduse taseme".

"Selle usaldusväärsus koos andmete väljafiltreerimise ja teabe varguse erinevate funktsioonidega muudab selle küberkurjategijate seas eelistatud valikuks," selgitab Chailytko.

Pahavara pakub mitmesuguseid andmete väljafiltreerimise meetodeid ja varastamisvõimalusi, mis sihivad kõige sagedamini kasutatavat tarkvara, alates brauseritest kuni FTP-klientideni. Värsked pahavara värskendused pakuvad tihedamat integratsiooni selliste platvormidega nagu Telegram ja Discord, mis muudab kelmide häkkimiskampaaniate läbiviimise lihtsamaks.

Agent Tesla oli uudistes eelmisel aastal, kui küberkurjategijad kasutasid ära a 6-aastane Microsoft Office Agent Tesla kaugtäitmise viga.

Agent Tesla Hacki anatoomia

Check Pointi turvateadlaste analüüs, mis avaldati a blogi postitus see nädal pakkus Agent Teslal põhineva andmepüügikampaania metoodika seni ühe üksikasjalikumat kontrolli. Nende töö pakub 2023. aasta novembris XNUMX. aasta novembris peamiselt Austraalia ja Ameerika sihtmärkide vastu suunatud suure hulga rünnakute surmajärgset ülevaadet.

Check Point ütles, et "Bignosa" nimeline ohutegija installis esmalt hostitud serverisse Pleski (majutamiseks) ja Round Cube'i (e-posti klient). Seejärel maskeerisid ründajad Agent Tesla kasuliku koorma, kasutades paketti nimega Cassandra Protector, mis peitis pahatahtliku koodi ja kontrollis selle kohaletoimetamist.

Cassandra Protector koondab mitmesuguseid valikuid, mis võimaldavad küberkurjategijatel enne hukkamist uneaega konfigureerida. Lisaks muudele funktsioonidele juhib see teksti võltsdialoogiboksis, mis kuvatakse, kui ohvrid avavad pahatahtliku faili.

Kui agent Tesla oli sel viisil "kaitstud", teisendas Bignosa pahatahtliku .NET-koodi ISO-failiks laiendiga ".img", enne kui lisati saadud fail rämpspostile.

Järgmisena ühendas Bignosa äsja konfigureeritud masinaga kaugjuurdepääsu võrguprotokolli ühenduse kaudu, lõi e-posti aadressi, logis sisse veebimeili ja käivitas rämpsposti käitamise, kasutades eelnevalt ettevalmistatud sihtloendit. Check Pointi andmetel tabasid Austraaliat rünnaku esimeses laines "mõned edukad nakkused".

Allpool

Agent Tesla pahavarakampaania taga olevad ohustajad olid peamiselt suunatud Austraalia ettevõtetele, mida näitab nende masinates oleva meililisti faili nimega "AU B2B Lead.txt".

"See viitab tahtlikule jõupingutusele koguda ja sihtida Austraalia äriüksustega seotud e-posti aadresse, potentsiaalselt eesmärgiga tungida ettevõtete võrkudesse eesmärgiga hankida väärtuslikku teavet rahaliseks ärakasutamiseks," ütleb Check Pointi Chailytko.

Uurijad leidsid, et Bignosa töötas Austraalias ja USA-s asuvatesse ettevõtetesse sissemurdmise kampaanias ka teise vilunuma küberkurjategijaga, kes alandamatult "jumalate" taga käib.

Turvauurijate avastanud Jabberi vestluslogide kohaselt pakkusid jumalad Bignosale nõu pahatahtliku rämpsposti sisu kohta.

Nagu ka teiste küberkurjategijate puhulCheck Pointi avastatud tõendite kohaselt võitles duo oma küberkuritegevuse kampaania elementidega.

Paljudel juhtudel ei suutnud Bignosa oma masinat Agent Tesla testnakkustest puhastada, mistõttu pidi õnnetu häkker abi saamiseks pöörduma jumalate kaugjuurdepääsu poole.

Check Point teatas, et usub, et Bignosa on Keenia ja Gods on nigeerlane, kes töötab päevatööna veebiarendajana.

Kuidas blokeerida Agent Tesla infektsioone

Check Pointi esile tõstetud agent Tesla-põhine andmepüügikampaania rõhutab endiselt levinud ohtu, mida kujutab endast täiskasvanud pahavara.

Ettevõtted peaksid hoidma ajakohastatud operatsioonisüsteeme ja rakendusi, installides kiiresti paigad ja kasutades muid turvameetmeid. Check Pointi andmetel võivad kaubanduslikud rämpsposti filtreerimise ja blokeerimisloendite tööriistad aidata minimeerida kasutajate postkastidesse ilmuvat rämpsposti.

Sellegipoolest peavad lõppkasutajad olema ettevaatlikud, kui nad saavad ootamatuid linke sisaldavaid e-kirju, eriti võõrastelt saatjatelt. Check Pointi andmetel võivad töötajate regulaarsed koolitus- ja koolitusprogrammid küberjulgeolekualast teadlikkust tugevdada just seal.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/remote-workforce/thousands-of-australian-businesses-targeted-with-agent-tesla-rat