去年ESET发布了 关于 AceCryptor 的博文 – 自 2016 年以来运营的最受欢迎和最流行的加密货币即服务 (CaaS) 之一。1 年上半年 我们发表了 我们遥测的统计数据表明,之前时期的趋势继续存在,没有发生重大变化。
然而,在 2 年下半年,我们发现 AceCryptor 的使用方式发生了重大变化。与 2023 年上半年相比,我们不仅在 2 年下半年看到并阻止了超过一倍的攻击,而且我们还注意到 Rescoms(也称为 Remcos)开始使用 AceCryptor,而之前的情况并非如此。
绝大多数 AceCryptor 封装的 Rescoms RAT 样本被用作针对波兰、斯洛伐克、保加利亚和塞尔维亚等欧洲国家的多个垃圾邮件活动的初始妥协载体。
这篇博文的要点:
- 2 年下半年,AceCryptor 继续为数十个非常知名的恶意软件家族提供加壳服务。
- 尽管以安全产品而闻名,AceCryptor 的流行率并没有显示出下降的迹象:相反,由于 Rescoms 活动,攻击数量显着增加。
- AceCryptor 是针对特定国家和目标(例如特定国家的公司)的威胁行为者选择的加密器。
- 2 年下半年,ESET 在欧洲国家(主要是波兰、保加利亚、西班牙和塞尔维亚)检测到多个 AceCryptor+Rescoms 活动。
- 在某些情况下,这些活动背后的威胁行为者会滥用受感染的帐户发送垃圾邮件,以使它们看起来尽可能可信。
- 垃圾邮件活动的目标是获取浏览器或电子邮件客户端中存储的凭据,如果成功泄露,将为进一步的攻击提供可能性。
AceCryptor 2 年下半年
2023 年上半年,ESET 保护了约 13,000 名用户免受 AceCryptor 恶意软件的侵害。今年下半年,携带 AceCryptor 的恶意软件在野外传播的数量大幅增加,我们的检测数量增加了两倍,导致全球超过 42,000 名 ESET 用户受到保护。如图 1 所示,我们检测到多波突然的恶意软件传播。这些峰值表明针对欧洲国家的多个垃圾邮件活动,AceCryptor 在这些国家打包了 Rescoms RAT(在 雷斯康斯活动 部分)。
此外,当我们比较原始样本数量时:2023年上半年,ESET检测到超过23,000个AceCryptor的独特恶意样本; 2023 年下半年,我们“仅”看到并检测到了超过 17,000 个独特样本。尽管这可能出乎意料,但仔细查看数据后可以找到合理的解释。 Rescoms 垃圾邮件活动在发送给更多用户的电子邮件活动中使用了相同的恶意文件,从而增加了遇到恶意软件的人数,但仍然保持了较低的不同文件数量。这在之前的时期并没有发生,因为 Rescoms 几乎从未与 AceCryptor 结合使用。独特样本数量减少的另一个原因是一些受欢迎的家庭显然停止(或几乎停止)使用 AceCryptor 作为他们的首选 CaaS。一个例子是 Danabot 恶意软件停止使用 AceCryptor;此外,著名的 RedLine Stealer 的用户也停止使用 AceCryptor,因为包含该恶意软件的 AceCryptor 样本减少了 60% 以上。
如图 2 所示,除了 Rescoms 之外,AceCryptor 仍然分发来自许多不同恶意软件系列的样本,例如 SmokeLoader、STOP 勒索软件和 Vidar Stealer。
2023 年上半年,受 AceCryptor 打包的恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其,其中秘鲁的攻击数量最多,为 4,700 起。 Rescom 的垃圾邮件活动在今年下半年极大地改变了这些统计数据。如图 3 所示,包含 AceCryptor 的恶意软件主要影响欧洲国家。到目前为止,受影响最严重的国家是波兰,ESET 在该国阻止了超过 26,000 次攻击;其次是乌克兰、西班牙和塞尔维亚。而且,值得一提的是,ESET 产品在这些国家/地区中阻止的攻击数量比 1 年上半年受影响最严重的国家/地区(秘鲁)还要多。
我们在 H2 中观察到的 AceCryptor 样本通常包含两个恶意软件系列作为其有效负载:Rescoms 和 SmokeLoader。乌克兰的峰值是由 SmokeLoader 引起的。这个事实已经提到过 乌克兰 NSDC。另一方面,在波兰、斯洛伐克、保加利亚和塞尔维亚,活动增加是由包含 Rescoms 作为最终有效负载的 AceCryptor 引起的。
雷斯康斯活动
2023 年上半年,我们在遥测中看到,含有 Rescoms 的 AceCryptor 样本事件不到 32,000 起。今年下半年,Rescoms 成为 AceCryptor 打包的最流行的恶意软件家族,点击次数超过 4 次。其中一半以上的尝试发生在波兰,其次是塞尔维亚、西班牙、保加利亚和斯洛伐克(图 XNUMX)。
波兰的战役
借助 ESET 遥测技术,我们能够在 2 年下半年观察到八个针对波兰的重大垃圾邮件活动。如图 2023 所示,其中大多数发生在 5 月,但也有活动发生在 XNUMX 月和 XNUMX 月。
在此期间,ESET 在波兰总共记录了超过 26,000 起此类攻击。所有垃圾邮件活动都针对波兰的企业,并且所有电子邮件的主题行都非常相似,涉及为受害公司提供的 B2B 优惠。为了看起来尽可能可信,攻击者在垃圾邮件中加入了以下技巧:
- 他们从其他公司的模仿域发送垃圾邮件的电子邮件地址。攻击者使用不同的 TLD,更改公司名称中的字母或在多单词公司名称的情况下更改单词顺序(这种技术称为误植)。
- 最值得注意的是,涉及多个活动 商业电子邮件泄露 – 攻击者滥用其他公司员工之前被泄露的电子邮件帐户来发送垃圾邮件。这样,即使潜在的受害者寻找通常的危险信号,它们也不在那里,并且电子邮件看起来尽可能合法。
攻击者进行了研究,并在签署这些电子邮件时使用了现有的波兰公司名称,甚至现有的员工/所有者姓名和联系信息。这样做是为了在受害者尝试通过 Google 搜索发件人姓名的情况下,搜索会成功,这可能会导致他们打开恶意附件。
- 垃圾邮件的内容在某些情况下比较简单,但在许多情况下(如图 6 中的示例)相当复杂。尤其是这些更复杂的版本应该被认为是危险的,因为它们偏离了通用文本的标准模式,而通用文本通常充满语法错误。
图 6 所示的电子邮件包含一条消息,后跟有关涉嫌发件人处理个人信息的信息,以及“访问您的数据内容以及纠正、删除、限制处理限制的权利、数据传输的权利”的可能性、提出异议的权利以及向监管机构提出投诉的权利”。消息本身可以这样翻译:
亲爱的主席先生,
我是来自[已编辑]的西尔维斯特[已编辑]。一位业务合作伙伴向我们推荐了贵公司。请引用随附的订单清单。另请告知我们有关付款条件的信息。
我们期待您的回应和进一步讨论。
-
最好的问候,
所有活动中的附件看起来都非常相似(图 7)。电子邮件包含名为报价/询问(当然是波兰语)的附加存档或 ISO 文件,在某些情况下还附有订单号。该文件包含一个 AceCryptor 可执行文件,可以解压并启动 Rescoms。
根据恶意软件的行为,我们假设这些活动的目标是获取电子邮件和浏览器凭据,从而获得对目标公司的初步访问权限。虽然尚不清楚这些凭证是否是为实施这些攻击的组织收集的,或者这些被盗的凭证后来是否会出售给其他威胁行为者,但可以肯定的是,成功的妥协开启了进一步攻击的可能性,特别是来自当前流行的、勒索软件攻击。
需要说明的是,Rescoms RAT 是可以购买的;因此,许多威胁行为者在其行动中使用它。这些活动不仅通过目标相似性、附件结构、电子邮件文本或用于欺骗潜在受害者的技巧和技术来联系,而且还通过一些不太明显的属性来联系。在恶意软件本身中,我们能够找到将这些活动联系在一起的工件(例如,Rescoms 的许可证 ID),这表明其中许多攻击是由一个威胁参与者实施的。
斯洛伐克、保加利亚和塞尔维亚的战役
在波兰开展活动的同一时期,ESET 遥测技术还记录了斯洛伐克、保加利亚和塞尔维亚正在进行的活动。这些活动还主要针对当地公司,我们甚至可以在恶意软件本身中找到工件,将这些活动与在波兰开展活动的同一威胁行为者联系起来。当然,唯一重要的变化是垃圾邮件中使用的语言适合这些特定国家/地区。
西班牙的活动
除了前面提到的活动之外,西班牙还经历了以 Rescoms 作为最终有效负载的垃圾邮件激增。尽管我们可以确认至少其中一项活动是由与之前的案例相同的威胁行为者实施的,但其他活动遵循的模式略有不同。此外,即使是与之前案例中相同的文物,在这些案例中也有所不同,因此,我们不能得出结论说西班牙的活动起源于同一个地方。
结论
2023 年下半年,我们检测到 AceCryptor 的使用发生了变化,AceCryptor 是一种流行的加密器,被多个威胁参与者用来打包许多恶意软件系列。尽管 RedLine Stealer 等一些恶意软件系列的流行率有所下降,但其他威胁参与者开始使用它或更多地使用它进行活动,而 AceCryptor 仍然表现强劲。在这些活动中,AceCryptor 被用来针对多个欧洲国家,并提取信息或获得多家公司的初步访问权。这些攻击中的恶意软件通过垃圾邮件传播,在某些情况下非常令人信服;有时,垃圾邮件甚至是从合法但被滥用的电子邮件帐户发送的。由于打开此类电子邮件中的附件可能会给您或您的公司带来严重后果,因此我们建议您了解您正在打开的内容,并使用能够检测恶意软件的可靠端点安全软件。
如果对我们在 WeLiveSecurity 上发表的研究有任何疑问,请通过以下方式联系我们 [电子邮件保护].
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
妥协指标 (IoC) 的完整列表可以在我们的 GitHub存储库.
档
SHA-1 |
文件名 |
检测 |
课程描述 |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。 |
7DB6780A1E09AEC6146E |
扎皮坦尼.7z |
Win32/Kryptik.HUNX |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
2023 年 XNUMX 月在波兰和保加利亚开展的垃圾邮件活动产生的恶意附件。 |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。 |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
2023 年 XNUMX 月在保加利亚开展的垃圾邮件活动产生的恶意附件。 |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。 |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
2023 年 XNUMX 月在保加利亚开展的垃圾邮件活动产生的恶意附件。 |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
2023 年 XNUMX 月在斯洛伐克开展的垃圾邮件活动产生的恶意附件。 |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
2023 年 XNUMX 月在保加利亚开展的垃圾邮件活动产生的恶意附件。 |
AF021E767E68F6CE1D20 |
扎皮塔尼·奥弗托韦.7z |
Win32/Kryptik.HUQF |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
2023 年 XNUMX 月在塞尔维亚开展的垃圾邮件活动产生的恶意附件。 |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
FAD97EC6447A699179B0 |
列表 zamówień 和 szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
2023 年 XNUMX 月在波兰开展的垃圾邮件活动产生的恶意附件。 |
FB8F64D2FEC152D2D135 |
佩迪多·伊索 |
Win32/Kryptik.HUMF |
2023 年 XNUMX 月在西班牙开展的垃圾邮件活动产生的恶意附件。 |
MITRE ATT&CK 技术
该表是使用 14版 MITRE ATT&CK 框架。
战术 |
ID |
名字 |
课程描述 |
侦察 |
收集受害者身份信息:电子邮件地址 |
电子邮件地址和联系信息(从公开来源购买或收集)被用于网络钓鱼活动,以多个国家/地区的公司为目标。 |
|
资源开发 |
受损帐户:电子邮件帐户 |
攻击者使用受损的电子邮件帐户在垃圾邮件活动中发送网络钓鱼电子邮件,以提高垃圾邮件的可信度。 |
|
获取能力:恶意软件 |
攻击者购买并使用 AceCryptor 和 Rescoms 进行网络钓鱼活动。 |
||
初始访问 |
網絡釣魚 |
攻击者使用带有恶意附件的网络钓鱼邮件来破坏计算机并窃取多个欧洲国家公司的信息。 |
|
网络钓鱼:鱼叉式钓鱼附件 |
攻击者使用鱼叉式网络钓鱼消息来破坏计算机并窃取多个欧洲国家公司的信息。 |
||
执行 |
用户执行:恶意文件 |
攻击者依靠用户打开和启动包含 AceCryptor 打包的恶意软件的恶意文件。 |
|
凭证访问 |
来自密码存储的凭据:来自 Web 浏览器的凭据 |
攻击者试图从浏览器和电子邮件客户端窃取凭据信息。 |