Η Microsoft δημοσίευσε τα αποτελέσματα μιας έρευνάς της σχετικά με τα συστήματα που χρησιμοποιούνται για την αποστολή εκατομμυρίων emails, τα οποία διανέμουν τουλάχιστον επτά διαφορετικούς τύπους malware.
Ο τεχνολογικός κολοσσός προσδιόρισε δύο στοιχεία της νέας υποδομής email που ανακάλυψε τον Μάρτιο και τον Απρίλιο του 2020, την οποία παρακολούθησε και το υπόλοιπο του έτους. Το πρώτο τμήμα της υποδομής το ονομάζει “StrangeU” επειδή συχνά χρησιμοποιεί τη λέξη “strange” σε νέα domains. Το δεύτερο τμήμα χρησιμοποιεί έναν αλγόριθμο δημιουργίας domain – μια τεχνική για την τυχαία δημιουργία ονομάτων domain – και έτσι ονομάστηκε “RandomU”.
Ερευνητές ασφαλείας του Microsoft 365 Defender Threat Intelligence Team ανέφεραν ότι η εμφάνιση αυτής της υποδομής τον περασμένο Μάρτιο συνδέθηκε με τη διακοπή του Necurs botnet, που είχε ως αποτέλεσμα τη μείωση της υπηρεσίας. Το Necurs ήταν ένα μεγάλο και μακροχρόνιο botnet με ιστορία στην διανομή του banking trojan “Dridex”, έχοντας επίσης χρησιμοποιηθεί για τη διανομή ransomware, trojan απομακρυσμένης πρόσβασης και trojan που κλέβουν πληροφορίες. Το Necurs είναι ένα παράδειγμα μιας «επιχείρησης για ενοικίαση» που εκμισθώνει την ικανότητα παράδοσης ως υπηρεσία, ενώ επιτρέπει στους εισβολείς να επικεντρώνονται στην παραγωγή malware.
Σύμφωνα με τη Microsoft, η StrangeU και RandomU υποδομή φαίνεται να συμπληρώνει το κενό των υπηρεσιών που δημιούργησε η διαταραχή του Necurs, αποδεικνύοντας ότι οι εισβολείς έχουν μεγάλο κίνητρο να προσαρμοστούν γρήγορα στις προσωρινές διακοπές των επιχειρήσεών τους.
Η νέα υποδομή email στοχεύει κυρίως μηχανήματα στις ΗΠΑ, την Αυστραλία και το Ηνωμένο Βασίλειο, τη βιομηχανία διανομής χονδρικής, χρηματοοικονομικές υπηρεσίες και υγειονομικές εγκαταστάσεις.
Αυτή η υποδομή χρησιμοποιήθηκε αρχικά για τη διανομή commodity malware, αλλά τον Σεπτέμβριο του 2020 οι χειριστές των Dridex και Trickbot άρχισαν επίσης να την χρησιμοποιούν. Το Trickbot καταργήθηκε τον περασμένο Οκτώβριο, αλλά επανεμφανίστηκε τον Ιανουάριο του 2021 και απέκτησε ένα νέο στοιχείο που σαρώνει τοπικά δίκτυα για πολύτιμα open ports, στα οποία μπορούν να πραγματοποιηθούν αργότερα επιθέσεις.
Όπως αναφέρει το ZDNet, κάποιες από τις κακόβουλες εκστρατείες που έχουν χρησιμοποιήσει την StrangeU και RandomU υποδομή από τον Μάρτιο του 2020, είναι οι ακόλουθες:
- Κορεατικές phishing εκστρατείες που διένειμαν το Makop ransomware τον Απρίλιο και τον Ιούνιο
- Ειδοποιήσεις έκτακτης ανάγκης που διένειμαν το Mondfoxia τον Απρίλιο
- Ένα “Black Lives Matter” δέλεαρ που διένειμε το Trickbot τον Ιούνιο
- Η εκστρατεία του Dridex που εξαπλώθηκε μέσω το StrangeU και άλλων υποδομών από τον Ιούνιο έως τον Ιούλιο
- Η εκστρατεία του Dofoil (SmokeLoader) τον Αύγουστο
- Δραστηριότητες των Emotet και Dridex τον Σεπτέμβριο, τον Οκτώβριο και τον Νοέμβριο
Στις 10 Ιουνίου, η εταιρεία ασφαλείας “Fortinet” ανέφερε μια μαζική phishing εκστρατεία με κακόβουλα συνημμένα Word και επικεφαλίδες θέματος που φάνηκε να στοχεύουν άτομα που υποστηρίζουν το κίνημα “Black Lives Matter”. Τα κακόβουλα emails ζητούσαν από τους χρήστες να κάνουν σχόλια για το κίνημα. Η Microsoft σημειώνει ότι αυτές οι εκστρατείες στόχευσαν κυρίως εταιρικούς λογαριασμούς email στις ΗΠΑ και τον Καναδά. Επιπλέον, επρόκειτο για μικρές εκστρατείες, που είχαν ενορχηστρωθεί με τέτοιον τρόπο ώστε να μην είναι εύκολα ανιχνεύσιμες.
Επίσης, οι εκστρατείες του Dridex από τα τέλη Ιουνίου και έως τον Ιούλιο χρησιμοποίησαν το StrangeU και παραβίασαν εταιρικούς λογαριασμούς email, για την παράδοση εγγράφων Excel με κακόβουλες μακροεντολές.
Τέλος, η Microsoft εξηγεί τα ακόλουθα: «Καθώς οι επιθέσεις συνεχίζουν να αυξάνονται, οι τακτικές που χρησιμοποιούν οι επιτιθέμενοι για να παραδώσουν phishing emails, να αποκτήσουν αρχική πρόσβαση σε συστήματα και να κινηθούν πλευρικά σε δίκτυα, θα γίνονται συνεχώς πιο ποικίλες. Αυτή η έρευνα δείχνει ότι παρά τις διάφορες παραλλαγές και την ανθεκτικότητα που έχουν “χτίσει” οι χάκερς, οι βασικές τακτικές και τα εργαλεία που χρησιμοποιούν εξακολουθούν να είναι περιορισμένης εμβέλειας, ενώ βασίζονται σε γνωστές κακόβουλες μακροεντολές, θέλγητρα και τακτικές αποστολής.»
