Več kot 11,000 avstralskih podjetij je bilo tarča nedavnega vala kibernetskih napadov, ki temeljijo na zastareli, a še vedno nevarni vrsti zlonamerne programske opreme, imenovani Agent Tesla.

Potencialne žrtve so bile bombardirane z e-poštnimi sporočili z minami z vabami o nakupu blaga in poizvedbami o dostavi naročil, ki so prišla z zlonamerno priponko. Žrtve, ki so bile zavedene, da so odprle priponko, so svoje računalnike z operacijskim sistemom Windows izpostavile okužbam z agentom Tesla.

Agent Tesla je trojanec z oddaljenim dostopom (RAT), ki se je prvič pojavil leta 2014. Po mnenju raziskovalcev pri Check Point Software je zlonamerna programska oprema široko razširjena in jo pogosto uporabljajo različni akterji groženj, vključno s kibernetskimi kriminalci in vohuni.

Alexander Chailytko, vodja kibernetske varnosti, raziskav in inovacij pri Check Pointu, pravi, da so akterji groženj "razvili stopnjo zaupanja" v zmogljivosti agenta Tesla.

»Njegova zanesljivost, skupaj z raznolikim naborom funkcionalnosti za odtujitev podatkov in krajo informacij, je prednostna izbira med kiberkriminalci,« pojasnjuje Chailytko.

Zlonamerna programska oprema ponuja vrsto metod izločanja podatkov in zmožnosti kraje, ki ciljajo na najpogosteje uporabljeno programsko opremo, od brskalnikov do odjemalcev FTP. Nedavne posodobitve zlonamerne programske opreme ponujajo tesnejšo integracijo s platformami, kot sta Telegram in Discord, kar goljufom olajša izvajanje hekerskih kampanj.

Agent Tesla je bil lani v novicah, ko so kibernetski kriminalci izkoristili a 6 let star Microsoft Office napaka pri oddaljenem izvajanju za zagon agenta Tesla.

Anatomija vdora agenta Tesla

Analiza varnostnih raziskovalcev iz Check Pointa, objavljena v a blog post ta teden je ponudil enega najbolj podrobnih pregledov metodologije lažnega predstavljanja, ki temelji na agentu Tesla, doslej. Njihovo delo ponuja postmortem obsežne serije napadov, izvedenih novembra 2023 proti večinoma avstralskim in ameriškim tarčam.

Check Point je dejal, da je akter grožnje, imenovan Bignosa, najprej namestil Plesk (za gostovanje) in Round Cube (e-poštni odjemalec) na gostujoči strežnik. Napadalci so nato prikrili tovor agenta Tesla s paketom, imenovanim Cassandra Protector, ki je skril zlonamerno kodo in nadzoroval njeno dostavo.

Cassandra Protector združuje različne možnosti, ki kibernetskim kriminalcem omogočajo konfiguracijo časa mirovanja pred izvedbo. Med drugimi funkcijami nadzoruje besedilo v lažnem pogovornem oknu, ki se prikaže, ko žrtve odprejo zlonamerno datoteko.

Ko je bil agent Tesla "zaščiten" na ta način, je Bignosa zlonamerno kodo .NET pretvoril v datoteko ISO s pripono ".img", preden je nastalo datoteko priložil neželeni e-pošti.

Nato se je Bignosa povezal z na novo konfiguriranim strojem prek povezave omrežnega protokola za oddaljeni dostop, ustvaril e-poštni naslov, se prijavil v spletno pošto in zagnal pošiljanje neželene pošte z uporabo vnaprej pripravljenega ciljnega seznama. Po poročanju Check Pointa je Avstralijo v prvem valu napada prizadelo "nekaj uspešnih okužb".

Dol spodaj

Akterji groženj za kampanjo zlonamerne programske opreme Agent Tesla so ciljali predvsem na avstralska podjetja, kot je razvidno iz prisotnosti datoteke poštnega seznama z imenom »AU B2B Lead.txt« na njihovih računalnikih.

"To nakazuje namerno prizadevanje za zbiranje in ciljanje e-poštnih naslovov, povezanih z avstralskimi poslovnimi subjekti, potencialno z namenom infiltracije v korporativna omrežja s ciljem pridobivanja dragocenih informacij za finančno izkoriščanje," pravi Chailytko iz Check Pointa.

Raziskovalci so ugotovili, da je Bignosa sodeloval tudi z drugim bolj izkušenim kiberkriminalcem, ki se neskromno imenuje "bogovi", v kampanji za vdor v avstralska in ameriška podjetja.

Glede na dnevnike klepeta Jabber, ki so jih odkrili varnostni raziskovalci, so Bogovi Bignozi svetovali o vsebini zlonamernega neželenega besedila.

Tako kot pri drugih kiberkriminalcih, se je dvojec po dokazih, ki jih je odkril Check Point, boril z elementi svoje kampanje kibernetske kriminalitete.

V več primerih Bignosa ni mogel očistiti svoje naprave pred testnimi okužbami agenta Tesla, zato je moral nesrečni heker za pomoč poklicati Bogove na oddaljeni dostop.

Check Point je dejal, da meni, da je Bignosa Kenijec, Gods pa Nigerijec z dnevno službo kot spletni razvijalec.

Kako blokirati okužbe agenta Tesla

Kampanja lažnega predstavljanja, ki temelji na agentu Tesla, ki jo poudarja Check Point, poudarja še vedno prevladujočo grožnjo, ki jo predstavlja zrela zlonamerna programska oprema.

Podjetja morajo vzdrževati posodobljene operacijske sisteme in aplikacije s takojšnjim nameščanjem popravkov in uporabo drugih varnostnih ukrepov. Po mnenju Check Pointa lahko komercialna orodja za filtriranje neželene pošte in blokirane liste pomagajo zmanjšati količino neželenega prometa, ki se pojavi v uporabniških nabiralnikih.

Kljub temu morajo biti končni uporabniki previdni, ko naletijo na nepričakovana e-poštna sporočila s povezavami, zlasti od neznanih pošiljateljev. Po mnenju Check Pointa lahko tam redno usposabljanje in izobraževalni programi zaposlenih okrepijo ozaveščenost o kibernetski varnosti.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/remote-workforce/thousands-of-australian-businesses-targeted-with-agent-tesla-rat