Ένας παράγοντας απειλής που παρακολουθείται ως Unfurling Hemlock μολύνει συστήματα-στόχους με έως και δέκα κομμάτια κακόβουλου λογισμικού την ίδια στιγμή σε καμπάνιες που διανέμουν εκατοντάδες χιλιάδες κακόβουλα αρχεία.
Οι ερευνητές ασφαλείας περιγράφουν τη μέθοδο μόλυνσης ως μια «βόμβα συστάδας κακόβουλου λογισμικού» που επιτρέπει στον παράγοντα απειλής να χρησιμοποιήσει ένα δείγμα κακόβουλου λογισμικού που διαδίδει επιπλέον στο μηχάνημα που έχει παραβιαστεί.
Οι τύποι κακόβουλου λογισμικού που παραδίδονται με αυτόν τον τρόπο περιλαμβάνουν κλέφτες πληροφοριών, botnet και κερκόπορτες.
Η επιχείρηση ανακαλύφθηκε από τα KrakenLabs του Outpost24, την ομάδα πληροφοριών Cyber Threat Intelligence της εταιρείας ασφαλείας, που λένε ότι η δραστηριότητα χρονολογείται τουλάχιστον από τον Φεβρουάριο του 2023 και χρησιμοποιεί μια χαρακτηριστική μέθοδο διανομής.
Το KrakenLabs έχει έχουν δει πάνω από 50.000 αρχεία “βόμβες διασποράς”. που μοιράζονταν μοναδικά χαρακτηριστικά που τους συνδέουν με την ομάδα Unfurling Hemlock.
Ξετυλίγοντας επισκόπηση επίθεσης Hemlock
Οι επιθέσεις ξεκινούν με την εκτέλεση ενός αρχείου με το όνομα «WEXTRACT.EXE» που φθάνει στις συσκευές-στόχους είτε μέσω κακόβουλων email είτε μέσω φορτωτών κακόβουλου λογισμικού στους οποίους έχει πρόσβαση το Unfurling Hemlock αναθέτοντας συμβάσεις στους χειριστές τους.
Το κακόβουλο εκτελέσιμο περιέχει ένθετα συμπιεσμένα αρχεία γραφείου, με κάθε επίπεδο να περιέχει ένα δείγμα κακόβουλου λογισμικού και ένα ακόμη συμπιεσμένο αρχείο.
Κάθε βήμα αποσυσκευασίας ρίχνει μια παραλλαγή κακόβουλου λογισμικού στον υπολογιστή του θύματος. Όταν φτάσει στο τελικό στάδιο, τα εξαγόμενα αρχεία εκτελούνται με αντίστροφη σειρά, που σημαίνει ότι εκτελείται πρώτο το πιο πρόσφατα εξαγόμενο κακόβουλο λογισμικό.
Πηγή: Outpost24
Το KrakenLabs έχει δει από τέσσερα έως επτά στάδια, πράγμα που σημαίνει ότι ο αριθμός των βημάτων και η ποσότητα του κακόβουλου λογισμικού που παραδίδεται κατά τη διάρκεια των επιθέσεων Unfurling Hemlock ποικίλλει.
Από τα δείγματα που αναλύθηκαν, οι ερευνητές συμπέραναν ότι περισσότερες από τις μισές επιθέσεις Unfurling Hemlock στόχευαν συστήματα στις Ηνωμένες Πολιτείες, ενώ σχετικά μεγάλος όγκος δραστηριότητας παρατηρήθηκε επίσης στη Γερμανία, τη Ρωσία, την Τουρκία, την Ινδία και τον Καναδά.
Μια “βόμβα διασποράς” κακόβουλου λογισμικού
Η απόρριψη πολλαπλών ωφέλιμων φορτίων σε ένα παραβιασμένο σύστημα παρέχει στους φορείς απειλών υψηλά επίπεδα πλεονασμού, παρέχοντας περισσότερη επιμονή και ευκαιρίες δημιουργίας εσόδων.
Παρά το μειονέκτημα της ανίχνευσης κινδύνου, πολλοί παράγοντες απειλών ακολουθούν αυτήν την επιθετική στρατηγική, αναμένοντας ότι τουλάχιστον μερικά από τα ωφέλιμα φορτία τους θα επιβιώσουν από τη διαδικασία καθαρισμού.
Στην περίπτωση του Unfurling Hemlock, οι αναλυτές της KrakenLabs παρατήρησαν τα ακόλουθα κακόβουλα προγράμματα, φορτωτές και βοηθητικά προγράμματα που έπεσαν στα μηχανήματα των θυμάτων:
- Κόκκινη γραμμή: Ένα δημοφιλές κακόβουλο λογισμικό κλοπής που εξάγει ευαίσθητες πληροφορίες όπως διαπιστευτήρια, οικονομικά δεδομένα και πορτοφόλια κρυπτονομισμάτων. Μπορεί να κλέψει δεδομένα από προγράμματα περιήγησης ιστού, προγράμματα-πελάτες FTP και προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου.
- RisePro: Ένας σχετικά νέος κλέφτης που κερδίζει δημοτικότητα, επικεντρωμένος στην κλοπή διαπιστευτηρίων και στην εξαγωγή δεδομένων. Στοχεύει πληροφορίες προγράμματος περιήγησης, πορτοφόλια κρυπτονομισμάτων και άλλα προσωπικά δεδομένα.
- Mystic Stealer: Λειτουργεί με το μοντέλο Malware-as-a-Service (MaaS), ικανό να υποκλέψει δεδομένα από πολλά προγράμματα περιήγησης και επεκτάσεις, πορτοφόλια κρυπτονομισμάτων και εφαρμογές όπως το Steam και το Telegram.
- Amadey: Ένας προσαρμοσμένος φορτωτής που χρησιμοποιείται για τη λήψη και την εκτέλεση πρόσθετου κακόβουλου λογισμικού. Κυκλοφορεί στην αγορά από το 2018 και χρησιμοποιείται σε διάφορες καμπάνιες για τη διανομή διαφόρων κακόβουλων προγραμμάτων.
- SmokeLoader: Ένας ευέλικτος φορτωτής και κερκόπορτα γνωστός για τη μακροχρόνια χρήση του στο έγκλημα στον κυβερνοχώρο. Χρησιμοποιείται συχνά για τη λήψη άλλων τύπων κακόβουλου λογισμικού και μπορεί να συγκαλύψει την επισκεψιμότητά του στο C2 μιμούμενος αιτήματα σε νόμιμους ιστότοπους.
- Απενεργοποιητής προστασίας: Ένα βοηθητικό πρόγραμμα που έχει σχεδιαστεί για να απενεργοποιεί το Windows Defender και άλλες δυνατότητες ασφαλείας στο σύστημα του θύματος, τροποποιώντας τα κλειδιά μητρώου και τις ρυθμίσεις συστήματος για τη μείωση της άμυνας του συστήματος.
- Enigma Packer: Ένα εργαλείο συσκότισης που χρησιμοποιείται για τη συσκευασία και την απόκρυψη των πραγματικών ωφέλιμων φορτίων κακόβουλου λογισμικού, καθιστώντας τον εντοπισμό και την ανάλυση κακόβουλου λογισμικού πιο δύσκολη για λύσεις ασφαλείας.
- Healer.exe: Ένα άλλο βοηθητικό πρόγραμμα επικεντρώνεται στην απενεργοποίηση των μέτρων ασφαλείας, συγκεκριμένα στη στόχευση και απενεργοποίηση του Windows Defender.
- Έλεγχος απόδοσης: Ένα βοηθητικό πρόγραμμα για τον έλεγχο και την καταγραφή της απόδοσης της εκτέλεσης κακόβουλου λογισμικού, τη συλλογή στατιστικών πληροφοριών σχετικά με το σύστημα του θύματος και την επιτυχία της διαδικασίας μόλυνσης.
- Αλλα: Βοηθητικά προγράμματα που κάνουν κατάχρηση των εγγενών εργαλείων των Windows όπως το «wmiadap.exe» και το «wmiprvse.exe» για τη συλλογή πληροφοριών συστήματος.
Η αναφορά του KrakenLabs δεν εμβαθύνει στις οδούς δημιουργίας εσόδων ή στη δραστηριότητα μετά τον συμβιβασμό, αλλά μπορεί να υποτεθεί ότι το Unfurling Hemlock πουλά “κούτσουρα” πληροφοριών κλοπής και αρχική πρόσβαση σε άλλους παράγοντες απειλών.
Με βάση τα στοιχεία που ανακαλύφθηκαν κατά τη διάρκεια της έρευνας, οι ερευνητές πιστεύουν με «εύλογο βαθμό βεβαιότητας» ότι το Unfurling Hemlock εδρεύει σε μια χώρα της Ανατολικής Ευρώπης.
Δύο ενδείξεις αυτής της προέλευσης είναι η παρουσία της ρωσικής γλώσσας σε ορισμένα από τα δείγματα και η χρήση του Αυτόνομου Συστήματος 203727, το οποίο σχετίζεται με την υπηρεσία φιλοξενίας που είναι δημοφιλής σε συμμορίες κυβερνοεγκληματιών στην περιοχή.
Το Outpost24 συνιστά στους χρήστες να σαρώνουν τα ληφθέντα αρχεία χρησιμοποιώντας ενημερωμένα εργαλεία προστασίας από ιούς προτού τα εκτελέσουν, καθώς όλα τα κακόβουλα προγράμματα που απορρίπτονται σε αυτήν την καμπάνια είναι καλά τεκμηριωμένα και έχουν γνωστές υπογραφές.
VIA: bleepingcomputer.com
