Η Check Point Research (CPR) αποκάλυψε τρεις πρόσφατες κακόβουλες εκστρατείες ενός από τα πιο διαδεδομένα κακόβουλα λογισμικά στην αγορά – το Agent Tesla. Οι επιχειρήσεις αυτές στόχευαν εναντίον οργανισμών των ΗΠΑ και της Αυστραλίας και εκμεταλλεύτηκαν ως δέλεαρ αγορές αγαθών και παραδόσεις παραγγελιών.
Κατά την έρευνα, αποκαλύφθηκε ότι οι εν λόγω απειλητικοί φορείς διέθεταν μια βάση δεδομένων 62.000 ηλεκτρονικών μηνυμάτων, συμπεριλαμβανομένων ατόμων και οργανισμών από διαφορετικές κατηγορίες. Εκτός από τις εκστρατείες που προέρχονται από θύματα εταιρειών, η ομάδα διατηρεί μεγάλο αριθμό διακομιστών, οι οποίοι χρησιμοποιούνται για την προστασία της ταυτότητάς τους.
Επικίνδυνες και διαδεδομένες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές
Παρά τις προσπάθειες των απειλητικών παραγόντων να διατηρήσουν την ανωνυμία τους, η CPR αποκάλυψε την πραγματική τους ταυτότητα και την πηγή προέλευσής τους, ανακατασκεύασε τα βήματά τους στις επιθέσεις που πραγματοποιήθηκαν, με συνεχή παρακολούθηση της δραστηριότητάς τους.
Πολύ γνωστό κακόβουλο λογισμικό
Το κακόβουλο λογισμικό Agent Tesla είναι ένα προηγμένο trojan απομακρυσμένης πρόσβασης (RAT) που ειδικεύεται στην κλοπή και διείσδυση ευαίσθητων πληροφοριών από μολυσμένα μηχανήματα.
Αυτό το κακόβουλο λογισμικό μπορεί να συλλέξει διάφορους τύπους δεδομένων, συμπεριλαμβανομένων των πληκτρολογήσεων και των διαπιστευτηρίων σύνδεσης που χρησιμοποιούνται σε προγράμματα περιήγησης (όπως το Google Chrome και το Mozilla Firefox) και σε προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου που χρησιμοποιούνται σε μολυσμένα μηχανήματα. Το Agent Tesla έχει μια διαβόητη ιστορία περιλαμβανόμενο επανειλημμένα στις μηνιαίες εκθέσεις των 10 επικρατέστερων οικογενειών κακόβουλου λογισμικού από το 2020.
Δύο παράγοντες ηλεκτρονικού εγκλήματος
Η CPR εντόπισε τη δραστηριότητα 2 φορέων κυβερνοεγκλήματος που βρίσκονται πίσω από τις επιχειρήσεις Agent Tesla με τα στοιχεία να δείχνουν ότι συνδέονται μεταξύ τους:
- “Bignosa” (κύριος δράστης απειλής)
- “Gods”
Ο κύριος δράστης, “Bignosa”, φαίνεται να είναι μέρος μιας ομάδας που λειτουργεί κακόβουλο λογισμικό και εκστρατείες ηλεκτρονικού “ψαρέματος” με στόχο οργανισμούς, κάτι που μαρτυρούν οι βάσεις δεδομένων ηλεκτρονικού ταχυδρομείου επιχειρήσεων των ΗΠΑ και της Αυστραλίας, καθώς και απλοί ιδιώτες. Ο “Bignosa” χρησιμοποίησε το Cassandra Protector για συσκότιση και διάφορες οικογένειες κακόβουλου λογισμικού, σηματοδοτώντας ένα δευτερεύον επίπεδο τακτικών και εργαλείων εγκλήματος στον κυβερνοχώρο.
Με διπλή ταυτότητα, ο “Gods”, επίσης γνωστός στο διαδίκτυο ως “Kmarshal” που νωρίτερα συμμετείχε σε επιθέσεις phishing, μεταπήδησε αργότερα σε εκστρατείες κακόβουλου λογισμικού. Επίσης, επέδειξε ικανότητες στον σχεδιασμό ιστοσελίδων και σε επιχειρήσεις phishing.
Κατά τη διάρκεια της έρευνάς μας, εντοπίσαμε τους συνδέσμους μεταξύ διαφόρων ενδείξεων, πραγματοποιήσαμε συνδέσεις και εξασφαλίσαμε τις ταυτότητες αυτών των δύο φορέων απειλών, συμπεριλαμβανομένων των φωτογραφιών τους από τις σελίδες τους στο LinkedIn. Εμφανίστηκαν να είναι αφρικανικής καταγωγής, με τον έναν από αυτούς να κατέχει νόμιμες αποστολές εντός της επιχείρησής του.
Το τεχνικό τους επίπεδο φαινόταν να είναι διαφορετικό, με τον “Gods” να είναι πιο έμπειρος, ενώ και οι δύο επικοινωνούν μέσω Jabber, ανοιχτής τεχνολογίας για άμεση ανταλλαγή μηνυμάτων, με τον “Gods” να παρέχει βοήθεια στον “Bignosa” σε θέματα διαφορετικής δυσκολίας. Η χρήση του Agent Tesla, ωστόσο, δεν αποτελούσε εμπόδιο και για τους δύο. Παρακολουθήσαμε επίσης την κακόβουλη δραστηριότητά τους πίσω από τον Agent Tesla και μοιραστήκαμε όλες τις ανακαλύψεις με τις αρμόδιες υπηρεσίες επιβολής του νόμου.
Πρόσφατες εκστρατείες
Οι εκστρατείες κακόβουλου λογισμικού προετοιμάζονταν σχολαστικά, αντί να ξεκινούν απλώς την ανεπιθύμητη αλληλογραφία με ένα απλό κλικ. Χρησιμοποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου phishing με θέματα σχετικά με την αγορά αγαθών και την παράδοση παραγγελιών, οι επιτιθέμενοι προσπάθησαν να εξαπατήσουν τα θύματα με κοινωνικό μηχανισμό ώστε να ξεκινήσουν τη μόλυνση με κακόβουλο λογισμικό.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αποστέλλονταν από τους διακομιστές που είχαν αναπτύξει οι απειλητικοί φορείς ακριβώς πριν από τις εκστρατείες με κύριο σκοπό την ανωνυμία. Το ίδιο το κακόβουλο λογισμικό προστατευόταν από το Cassandra Protector, προσθέτοντας δυνατότητες αντι-ανίχνευσης για να είναι πιο δύσκολο να συλληφθεί.
Συμπεράσματα και συστάσεις
Η παρούσα έρευνα υπογραμμίζει τη σημασία της επαγρύπνησης στην ασφάλεια στον κυβερνοχώρο. Ο εντοπισμός αυτών των φορέων απειλής κατέστη δυνατός μέσω της σχολαστικής ανάλυσης των ψηφιακών αποτυπωμάτων, αποδεικνύοντας τη δύναμη της ψηφιακής εγκληματολογίας.
Για να μετριαστούν οι κίνδυνοι να επηρεαστούν από τέτοιες απειλές, είναι σημαντικό να:
- Να διατηρείτε τα λειτουργικά συστήματα και τις εφαρμογές ενημερωμένα, μέσω έγκαιρων επιδιορθώσεων και άλλων μέσων.
- Να είστε προσεκτικοί σε απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου με συνδέσμους, ιδίως από άγνωστους αποστολείς.
- Να ενισχύσετε την ευαισθητοποίηση των εργαζομένων σε θέματα κυβερνοασφάλειας.
- Να συμβουλεύεστε ειδικούς σε θέματα ασφάλειας για τυχόν αμφιβολίες ή αβεβαιότητες.
Latest News
Προσοχή στις ψεύτικες προσφορές της Black Friday - Προστατέψτε το πορτοφόλι και τα δεδομένα σας
Οι χάκερ αντιγράφουν νόμιμους ιστότοπους και επαναχρησιμοποιούν πρότυπα ηλεκτρονικού ταχυδρομείου phishing - υποσχόμενοι «είδη πολυτελείας» όπως ρολόγια Rolex και τσάντες Louis Vuitton σε απίστευτες εκπτώσεις
Η Microsoft αποκαλύπτει τις νέες επιχειρηματικές ευκαιρίες της AI στο Ignite 2024
Έως και 10 φορές πιο αποδοτικές για τις σύγχρονες επιχειρήσεις οι επενδύσεις στην τεχνητή νοημοσύνη
Εκκληση Microsoft σε Τραμπ να «πιέσει πιο σκληρά» κατά των χάκερ από Ρωσία-Κίνα
Η Microsoft κάνει λόγο για κύμα «κρατικών κυβερνοεπιθέσεων» με στόχο αξιωματούχους της κυβέρνησης των ΗΠΑ και προεκλογικές καμπάνιες
Γιατί τα υποθαλάσσια καλώδια είναι «πειρασμός» για τους σαμποτέρ
Επιχειρήσεις και κυβερνήσεις βασίζονται στα υποθαλάσσια καλώδια για κρίσιμες δραστηριότητες - Πόσο ασφαλή είναι και πώς προκαλούνται φθορές
Η Baidu έκανε την έκπληξη - Πτώση εσόδων αλλά μικρότερη από το αναμενόμενο
Η Baidu κατέγραψε αύξηση 12% των εσόδων της από μη διαδικτυακό μάρκετινγκ στα 1,1 δισεκατομμύρια δολάρια
Visa: 10 συμβουλές για να κάνετε τις αγορές σας με ασφάλεια
Όπως προκύπτει από την τελευταία έκθεση της Visa «Απειλές απάτης στις γιορτές 2024»’, οι απειλές κλιμακώνονται αυτή την περίοδο
Η Ινδονησία «στρίμωξε» την Apple - Πώς κέρδισε δεκαπλάσια επένδυση
Η Apple «πείστηκε» να κατασκευάσει ένα εργοστάσιο αξεσουάρ και εξαρτημάτων στο Μπαντούνγκ της Δυτικής Ιάβας
Η «πράσινη» ενέργεια φέρνει τα data centers στην Ελλάδα
Τα data centers για να λειτουργήσουν απαιτούν τεράστια ποσά ενέργειας που πολλές φορές απλά δεν είναι διαθέσιμα - Πώς αιολική και ηλιακή ενέργεια μπορεί να «φέρουν» πρόσθετες επενδύσεις
Πώς ο Τραμπ επιδιώκει να φέρει στα μέτρα του... Μασκ τον νόμο για αυτόνομα αυτοκίνητα
Η ομάδα Τραμπ επιδιώκει να κάνει πιο εύκολους τους κανόνες για την κατασκευή αυτόνομων αυτοκινήτων - Τυχαίο...;
Αυξημένες κατά 25% οι κυβερνοαπειλές στο λιανεμπόριο ενόψει της Black Friday
Οι απατεώνες συχνά παρουσιάζονται ως μεγάλα καταστήματα όπως η Amazon, η Walmart και το Etsy