Phần mềm độc hại PureCrypter tấn công các tổ chức chính phủ bằng ransomware, kẻ đánh cắp thông tin

Một tác nhân đe dọa đã nhắm mục tiêu vào các tổ chức chính phủ bằng trình tải xuống phần mềm độc hại PureCrypter đã được phát hiện là cung cấp nhiều trình đánh cắp thông tin và các chủng mã độc tống tiền.

Các nhà nghiên cứu tại Menlo Security đã phát hiện ra rằng tác nhân đe dọa đã sử dụng Discord để lưu trữ tải trọng ban đầu và xâm phạm một tổ chức phi lợi nhuận để lưu trữ các máy chủ bổ sung được sử dụng trong chiến dịch.

Các nhà nghiên cứu cho biết : “Chiến dịch bị phát hiện đã phân phối một số loại phần mềm độc hại bao gồm Redline Stealer, AgentTesla, Eternity, Blackmoon và Philadelphia Ransomware” .

Theo các nhà nghiên cứu, chiến dịch PureCrypter được quan sát đã nhắm mục tiêu vào nhiều tổ chức chính phủ ở khu vực Châu Á-Thái Bình Dương (APAC) và Bắc Mỹ.

Chuỗi tấn công

Cuộc tấn công bắt đầu bằng một email có URL ứng dụng Discord trỏ đến mẫu PureCrypter trong kho lưu trữ ZIP được bảo vệ bằng mật khẩu.

PureCrypter là một trình tải xuống phần mềm độc hại dựa trên .NET lần đầu tiên xuất hiện vào tháng 3 năm 2021. Người điều hành nó cho tội phạm mạng khác thuê nó để phân phối nhiều loại phần mềm độc hại khác nhau.

Khi được thực thi, nó sẽ phân phối tải trọng giai đoạn tiếp theo từ một máy chủ chỉ huy và kiểm soát, đây là máy chủ bị xâm nhập của một tổ chức phi lợi nhuận trong trường hợp này.

Mẫu mà các nhà nghiên cứu tại Menlo Security đã phân tích là AgentTesla. Khi được khởi chạy, nó sẽ thiết lập kết nối với máy chủ FTP có trụ sở tại Pakistan được sử dụng để nhận dữ liệu bị đánh cắp.

Các nhà nghiên cứu phát hiện ra rằng các tác nhân đe dọa đã sử dụng thông tin xác thực bị rò rỉ để kiểm soát máy chủ FTP cụ thể thay vì thiết lập máy chủ của riêng chúng, nhằm giảm rủi ro nhận dạng và giảm thiểu dấu vết của chúng.

Sơ đồ chuỗi tấn công 

AgentTesla vẫn đang được sử dụng

AgentTesla là một họ phần mềm độc hại .NET đã được tội phạm mạng sử dụng trong tám năm qua. Mức sử dụng của nó đạt đỉnh vào cuối năm 2020 và đầu năm 2021.

Một báo cáo gần đây của Cofense nhấn mạnh rằng bất chấp tuổi đời của nó, AgentTesla vẫn là một cửa hậu hiệu quả về chi phí và có khả năng cao, đã nhận được sự phát triển và cải tiến liên tục trong những năm qua.

Hoạt động ghi chép thao tác bàn phím của AgentTesla chiếm khoảng một phần ba tổng số báo cáo về thao tác ghi chép bàn phím mà Cofense Intelligence đã ghi lại vào năm 2022.

Các khả năng của phần mềm độc hại bao gồm:

• Ghi nhật ký các lần nhấn phím của nạn nhân để nắm bắt thông tin nhạy cảm như mật khẩu.
• Đánh cắp mật khẩu được lưu trong trình duyệt web, ứng dụng email hoặc ứng dụng khách FTP.
• Chụp ảnh màn hình của máy tính để bàn có thể tiết lộ thông tin bí mật.
• Chặn dữ liệu được sao chép vào khay nhớ tạm, bao gồm văn bản, mật khẩu và chi tiết thẻ tín dụng.
• Lọc dữ liệu bị đánh cắp sang C2 qua FTP hoặc SMTP.

Trong các cuộc tấn công do Menlo Labs kiểm tra, người ta phát hiện ra rằng những kẻ đe dọa đã sử dụng quá trình làm rỗng quy trình để đưa tải trọng AgentTesla vào một quy trình hợp pháp (“cvtres.exe”) để tránh bị các công cụ chống vi-rút phát hiện.

Hơn nữa, AgentTesla sử dụng mã hóa XOR để bảo vệ thông tin liên lạc của nó với máy chủ C2, giống như các tệp cấu hình của nó, khỏi các công cụ giám sát lưu lượng mạng.

Menlo Security tin rằng tác nhân đe dọa đằng sau chiến dịch PureCrypter không phải là một tác nhân lớn nhưng đáng để theo dõi hoạt động của nó do nhắm mục tiêu vào các tổ chức chính phủ.

Có khả năng kẻ tấn công sẽ tiếp tục sử dụng cơ sở hạ tầng bị xâm phạm càng lâu càng tốt trước khi buộc phải tìm cơ sở hạ tầng mới.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.