Afilijacija RansomHub-a koristi novi višefunkcionalni backdoor nazvan Betruger za izvođenje različitih radnji tokom svojih napada, otkrili su istraživači iz kompanije Symantec.
Betruger backdoor
Malver Betruger može:
- Praviti snimke ekrana
- Registrovati pritiske tipki (keylogging)
- Skenirati mreže
- Izdvajati kredencijale
- Prenositi datoteke na komandno-kontrolni (C2) server
- Koristiti se za eskalaciju privilegija
„Betruger je otkriven tokom istrage pokušaja napada. Od tada smo pronašli još jedan slučaj u kojem je korišten“, rekao je Dick O’Brien, vodeći analitičar obavještajnih podataka iz Symantec Threat Hunter Team-a pri Broadcomu, za Help Net Security.
Ograničen broj napada u kojima je korišten sugeriše da ga je možda koristio samo jedan afilijat, ali pitanje ko ga je razvio ostaje otvoreno.
Vjerovatni razlog korištenja višefunkcionalnog backdoora poput Betrugera je smanjenje vremena boravka napadača na ciljnim mrežama: umjesto da postavljaju više alata, mogu koristiti samo jedan.
Ostaje da se vidi da li će ovaj malver učiniti napad „bučnijim“. Na kraju krajeva, korištenje malvera može biti znatno upadljivije od korištenja legitimnih alata (npr. softvera za daljinsko upravljanje i monitoring).
Napadači su uložili trud da se backdoor preruši u legitimnu aplikaciju, koristeći nazive datoteka poput mailer.exe i turbomailer.exe.
Alatke RansomHub afilijata
RansomHub je operacija ransomware-a-kao-usluge (RaaS) koja je bila izuzetno aktivna u posljednjoj godini.
„Grupa je navodno pridobila mnoge afilijate nudeći im bolje uslove u poređenju sa rivalskim operacijama, poput većeg procenta otkupnine i modela plaćanja gdje afilijat dobija isplatu od žrtve prije nego što podijeli dio sa operaterom“, naveli su istraživači iz Symanteca.
Betruger je samo jedan od mnogih alata koje su afilijati RansomHub-a koristili posljednjih mjeseci. Kao i sve veći broj napadača ransomware-a, neki su počeli koristiti alate koji koriste tehniku Bring Your Own Vulnerable Driver (BYVOD) za onemogućavanje sigurnosnih rješenja, posebno alata EDRKillshifter.
Poznati alati u arsenalu RansomHub-a:
- Impacket (za daljinsko izvršavanje servisa, manipulaciju Kerberosom, izvlačenje Windows kredencijala itd.)
- Stowaway Proxy Tool (za proksi mrežni saobraćaj)
- Rclone (za eksfiltraciju podataka)
- Mimikatz (za izvlačenje kredencijala)
- ScreenConnect, Atera, Splashtop i TightVNC (za daljinski pristup ciljnim računarima)
- NetScan (za otkrivanje imena hostova i mrežnih servisa)
- SystemBC (komercijalni backdoor za C2 komunikaciju)
Takođe su primijećeni u iskorištavanju ranjivosti CVE-2022-24521 za eskalaciju privilegija i CVE-2023-27532 za dobijanje kredencijala za pristup infrastrukturi za sigurnosno kopiranje ciljeva.
Symantec je podijelio indikatore kompromitacije povezane sa najnovijim napadima RansomHub-a.
Izvor:Help Net Security