PureCrypter攻ji 政府组织

Posted 2023-02-28

一个威胁行为者一直在使用 PureCrypter 恶意软件下载器瞄准政府实体，该恶意软件下载器已被视为提供多种信息窃取程序和勒索软件毒株。

Menlo Security 的研究人员发现，威胁行为者使用 Discord 来托管初始有效负载，并破坏了一个非营利组织来存储活动中使用的其他主机。

该活动被发现传播了多种类型的恶意软件，包括：Redline Stealer、AgentTesla、Eternity、Blackmoon、Philadelphia Ransomware。据研究人员称，观察到的 PureCrypter 活动针对亚太地区 (APAC) 和北美地区的多个政府组织。

1、gong ji链

gong ji始于一封电子邮件，其中包含指向受密码保护的 ZIP 存档中的 PureCrypter 示例的 Discord 应用程序 URL。

PureCrypter 是一种基于 .NET 的恶意软件下载器，于 2021 年 3 月首次出现。其运营商将其出租给其他网络犯罪分子以分发各种类型的恶意软件。

执行时，它会从命令和控制服务器传递下一阶段的有效负载，在本例中，该服务器是非营利组织的受损服务器。

Menlo Security 的研究人员分析的样本是 AgentTesla。启动后，它会建立与巴基斯坦 FTP 服务器的连接，该服务器用于接收被盗数据。

研究人员发现，威胁行为者使用泄露的凭据来控制特定的 FTP 服务器，而不是自行设置，以降低识别风险并最大限度地减少他们的踪迹。

2、AgentTesla 仍在使用

AgentTesla 是一个 .NET 恶意软件系列，在过去八年中一直被网络犯罪分子使用。它的使用在 2020 年底和 2021 年初达到顶峰。

Cofense最近的一份报告强调，尽管 AgentTesla 年代久远，但它仍然是一种具有成本效益且功能强大的后门，多年来一直在不断发展和改进。

AgentTesla 的键盘记录活动约占 Cofense Intelligence 2022 年记录的所有键盘记录器报告的三分之一。

该恶意软件的功能包括：

1. 记录受害者的击键以捕获密码等敏感信息。

2. 窃取保存在Web浏览器、电子邮件客户端或FTP客户端中的密码。

3. 捕获可能泄露机密信息的桌面屏幕截图。

4. 拦截复制到剪贴板的数据，包括文本、密码和信用卡详细信息。

5. 通过FTP或SMTP将窃取的数据泄露到C2。

在 Menlo Labs 检查的攻 ji 中，发现威胁行为者使用进程挖空将 AgentTesla 有效负载注入合法进程（“cvtres.exe”）以逃避防病du工具的检测。

此外，AgentTesla 使用 XOR 加密来保护其与 C2 服务器的通信（如其配置文件）免受网络流量监控工具的影响。

PureCrypter 活动背后的威胁行为者并不是主要威胁行为者，但由于其针对政府实体，因此值得对其活动进行监控。

攻 ji 者很可能会在被迫寻找新的基础设施之前尽可能长时间地继续使用受损的基础设施。