Πρόσφατες έρευνες ασφαλείας αποκάλυψαν ότι ένα νέο εργαλείο MaaS, το AresLoader, αξιοποιείται σε διάφορες εκστρατείες επιθέσεων. Προφανώς δημιουργήθηκε και χρησιμοποιείται από φιλορωσικούς hacktivists, και συχνά κρύβεται μέσα σε δόλωμα εγκατάστασης νόμιμου λογισμικού.
Δείτε επίσης: Twitter: Τμήματα του source code διέρρευσαν στο GitHub
Δείτε επίσης: Dark Power ransomware: Όσα ξέρουμε για τη νέα απειλή
Η Intel 471, μια γνωστή εταιρεία πληροφοριών απειλών, έπεσε πάνω στο AresLoader τον Νοέμβριο, όταν ένα άτομο γνωστό ως AiD Lock και DarkBLUP το διαφήμισε στο Telegram και σε δύο παράνομα hacking forums. Φαίνεται ότι το άτομο αυτό δεν είναι ερασιτέχνης στη δημιουργία κακόβουλου λογισμικού, καθώς είχε συνδεθεί με το πρόγραμμα AiD Locker RaaS και την ομάδα PHANTOM DEV ή DeadXInject Hack πριν από αυτό το περιστατικό.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Πέρυσι, η ομάδα PHANTOM DEV διεξήγαγε χακτιβιστικές δραστηριότητες και υποστήριξε ότι ήταν ευθυγραμμισμένη με μια γνωστή φιλορωσική ομάδα χακτιβιστών που ονομάζεται Red Hackers Alliance Russia (RHA R). Σε αντίθεση με τους περισσότερους εγκληματίες του κυβερνοχώρου, των οποίων ο κύριος στόχος είναι να αποκομίσουν οικονομικό όφελος και να αποφύγουν την πολιτική εμπλοκή, οι χακτιβιστές συχνά καθοδηγούνται από ισχυρές πεποιθήσεις ή εθνικό συναίσθημα.
Επιπλέον, από τότε που ξεκίνησε ο πόλεμος στην Ουκρανία, είδαμε χάκερ και από τις δύο πλευρές να υποστηρίζουν τις αντίστοιχες κυβερνήσεις τους. Για παράδειγμα, η συμμορία Conti ransomware (η οποία δεν υπάρχει πλέον) προειδοποίησε για την εξαπόλυση επιθέσεων εναντίον δυτικών υποδομών ζωτικής σημασίας για λογαριασμό της Ρωσίας. Δεν είναι απροσδόκητο ότι κάτι τέτοιο θα συνέβαινε βλέποντας πώς τόσο η Ρωσία όσο και η Ουκρανία είναι διαβόητες για τη δραστηριότητα του κυβερνοεγκλήματος – με ορισμένους εγκληματίες να το χρησιμοποιούν για να παρέχουν βοήθεια σε περιόδους συγκρούσεων.
Η απειλή των Ρώσων χακτιβιστών δεν επικρέμεται μόνο πάνω από την Ουκρανία, αλλά μπορεί επίσης να επηρεάσει οποιοδήποτε δυτικό έθνος παρέχει οικονομική και στρατιωτική βοήθεια. Ως εκ τούτου, οι οργανισμοί σε αυτές τις χώρες πρέπει να είναι καλά εξοπλισμένοι με δυνατότητες ανίχνευσης όλων των εργαλείων που χρησιμοποιούνται από αυτές τις ομάδες – συμπεριλαμβανομένου του AresLoader.
Δείτε επίσης: Μια νέα καμπάνια phishing της Emotet στοχεύει φορολογούμενους στις ΗΠΑ
Παρατηρήθηκαν πολλές καμπάνιες AresLoader
Οι malware loaders είναι μια κατηγορία κακόβουλου λογισμικού που διαθέτει ελάχιστα χαρακτηριστικά και χρησιμοποιείται ως αρχικό payload σε επιθέσεις για να δώσει στους επιτιθέμενους πρόσβαση σε συστήματα και τη δυνατότητα να αναπτύξουν επιπλέον κακόβουλο λογισμικό. Αυτά τα trojans μπορούν να προμηθεύονται σε darkweb markets, όπου οι πελάτες πληρώνουν ένα συνεχές αντίτιμο για εξατομικευμένες εκδόσεις του ιού.
Το AresLoader είναι μια εντυπωσιακή υπηρεσία που διατίθεται για 300 δολάρια το μήνα, παρέχοντας στους χρήστες πρόσβαση σε πέντε προσαρμοσμένες κατασκευές. Για να γίνουν τα πράγματα ακόμα καλύτερα, υπάρχει η προαιρετική λειτουργία “binder” που σας επιτρέπει να συνδυάσετε μια νόμιμη εφαρμογή και το trojan σε ένα εικονικό πρόγραμμα εγκατάστασης. Κατά την εκτέλεση αυτής της νέας έκδοσης, η γραμμή εντολών των Windows (cmd.exe) θα εκτελέσει τόσο ένα script .bat όσο και την εκκίνηση της αρχικής γνήσιας εφαρμογής χωρίς κανένα πρόβλημα!
Το script .bat περιέχει τρεις εντολές PowerShell που εκτελούν διαφορετικές εργασίες. Η πρώτη προσθέτει ολόκληρο το C:\ partition στη λίστα εξαιρέσεων του Windows Defender, η δεύτερη κατεβάζει ένα κακόβουλο ωφέλιμο φορτίο ως αρχείο .dll από μια απομακρυσμένη διεύθυνση URL και η τρίτη εντολή ανακτά και εκτελεί ένα άλλο script .bat που εκκινεί το .dll ωφέλιμο φορτίο μέσω του rundll32.exe του συστήματος.
Μόλις αναπτυχθεί σε ένα σύστημα, το AresLoader ελέγχει εάν έχει δικαιώματα διαχειριστή. Εάν δεν το κάνει, επιχειρεί να αυξήσει τα προνόμιά του χρησιμοποιώντας τη διεπαφή προγραμματισμού εφαρμογής Windows ShellExecuteA (API) και την εντολή “runas”. Στη συνέχεια, δημιουργεί μια προγραμματισμένη εργασία για persistence για να διασφαλίσει ότι εκτελείται κατά την επανεκκίνηση, καθώς και ένα registry key στο HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Το Trojan έχει βασικές δυνατότητες λήψης και εκτέλεσης που χρησιμοποιούνται για την ανάπτυξη πρόσθετων ωφέλιμων φορτίων.
«Δεν έχουν ανακαλυφθεί πολλά instances AresLoader αυτή τη στιγμή, αλλά ο loader MaaS φαίνεται να έχει λίγους «πελάτες»», δήλωσαν οι ερευνητές της Intel 471. Τα ωφέλιμα φορτία που έχουν παρατηρήσει μέχρι στιγμής η Intel 471 και άλλοι ερευνητές περιλαμβάνουν:
- SystemBC
- Lumma Stealer
- StealC
- Aurora Stealer
- Laplas clipper
Η Intel 471 έχει ήδη παρατηρήσει δύο εκστρατείες επιθέσεων στις οποίες χρησιμοποιήθηκε το AresLoader. Τον Ιανουάριο, οι απειλητικοί φορείς χρησιμοποίησαν μια εναλλακτική μέθοδο για να εξαπλώσουν το κακόβουλο λογισμικό, αναπτύσσοντάς το μέσω άλλων κακόβουλων προγραμμάτων, όπως το SystemBC backdoor και το Amadey Trojan, αντί για τη χρήση rogue installers. Μετά την επιτυχημένη ανάπτυξη, συνέχισαν να εξαπολύουν το Laplas clipper και το cryptocurrency mining malware.
Πρόσφατα, οι ερευνητές κακόβουλου λογισμικού Roberto Martinez και Taisiia Garkava παρατήρησαν μια άλλη εκστρατεία που χρησιμοποιεί τον πίνακα ελέγχου του AresLoader για να δημιουργήσει κακόβουλους εγκαταστάτες έγκυρων προγραμμάτων που επιτρέπουν την είσοδο του Raccoon Stealer. Αυτός ο stealer στη συνέχεια ανέπτυξε το διαβόητο trojan AresLoader το οποίο εξαπέλυσε περαιτέρω ωφέλιμα φορτία όπως το StealC και το SystemBC.
Οι νόμιμες εφαρμογές για τις οποίες ανακαλύφθηκαν αδίστακτοι εγκαταστάτες AresLoader στο VirusTotal περιλαμβάνουν το Revo Uninstaller Pro, το Wise Care 365, το CCleaner Pro, το Bandicam Screen Recorder, το Freemake Video Converter και το Outbyte Driver Updater.
Για την προστασία από τις εκστρατείες AresLoader, η Intel 471 προτείνει στους οργανισμούς να παρατηρούν για προγραμματισμένες εργασίες που δημιουργούνται από αρχεία bat ή cmd, να παρακολουθούν τις αλλαγές που γίνονται στη λίστα εξαιρέσεων του Windows Defender, να απαιτούν την αξιολόγηση της υπογραφής κώδικα των προγραμμάτων εγκατάστασης .exe και MSI για τον εντοπισμό χειραγώγησης και απατηλών προγραμμάτων εγκατάστασης, καθώς και να ρυθμίζουν την καταγραφή για το PowerShell. Η έκθεση της εταιρείας περιέχει και indicators of compromise και MITRE ATT&CK Framework TTPs που σχετίζονται με τις καμπάνιες AresLoader που έχουν δει μέχρι στιγμής.
Πηγή πληροφοριών: csoonline.com
