Хакери за иницијален пристап се префрлаат на Tsundere Bot за ransomware напади

Плоден посредник за иницијален пристап, следен под ознаката TA584, е забележан како го користи Tsundere Bot заедно со XWorm тројанец за далечински пристап за да добие пристап до мрежи, што може да доведе до ransomware напади.

Истражувачите од Proofpoint ја следат активноста на TA584 уште од 2020 година и наведуваат дека заканувачкиот актер значително ги зголемил своите операции во последно време, воведувајќи континуиран синџир на напади што ја поткопува статичката детекција.

Tsundere Bot првпат беше документиран од Kaspersky минатата година и му беше припишан на оператор што зборува руски јазик и има врски со малициозниот софтвер 123 Stealer. Иако целите и методот на инфекција тогаш останаа нејасни, Proofpoint наведува дека „малициозниот софтвер може да се користи за собирање информации, ексфилтрација на податоци, латерално движење и инсталирање дополнителни payload-и“.

„Со оглед на тоа што Proofpoint забележа користење на овој малициозен софтвер од страна на TA584, истражувачите со високо ниво на сигурност проценуваат дека инфекциите со Tsundere Bot може да доведат до ransomware“, забележуваат истражувачите. Активноста на TA584 кон крајот на 2025 година се зголемила тројно во споредба со првиот квартал од истата година и се проширила надвор од стандардниот опсег на таргетирање — Северна Америка и Обединетото Кралство/Ирска — за да ги опфати Германија, повеќе европски земји и Австралија.

Тековно најраспространетиот синџир на напади започнува со е-пораки испратени од стотици компромитирани, стари кориснички сметки, доставени преку SendGrid и Amazon Simple Email Service (SES).

Е-пораките содржат уникатни URL-адреси за секоја цел, гео-оградување (geofencing) и IP-филтрирање, како и механизам на синџири за пренасочување, кои често вклучуваат системи за насочување сообраќај од трети страни (TDS), како што е Keitaro. Оние што ќе ги поминат филтрите ќе бидат пренасочени на CAPTCHA страница, по што следи ClickFix страница која ѝ наложува на целта да изврши PowerShell команда на својот систем.

Командата презема и извршува обфусциран скрипт, вчитува XWorm или Tsundere Bot директно во меморија и го пренасочува прелистувачот кон безопасна страница со цел измама.

Proofpoint наведува дека TA584 користел голем број payload-и низ годините, вклучувајќи Ursnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike и DCRAT, при што DCRAT сè уште бил забележан во еден случај во 2025 година. Tsundere Bot е платформа за малициозен софтвер-како-услуга (MaaS) со можности за backdoor и loader. За да функционира, бара Node.js, кој малициозниот софтвер го додава на системот на жртвата преку инсталери генерирани од неговиот командно-контролен панел.

Малициозниот софтвер ја презема својата командно-контролна (C2) адреса од Ethereum блокчејнот користејќи варијанта на техниката EtherHiding, при што во инсталерот е вклучена и хардкодирана резервна адреса.

Комуникацијата со C2 серверите се одвива преку WebSockets и вклучува логика за проверка на локалните поставки на системот, при што извршувањето се прекинува ако системот користи јазици од земјите на Заедницата на независни држави (CIS), главно руски.

Tsundere Bot собира системски информации за профилирање на инфицираните машини, може да извршува произволен JavaScript код добиен од C2 и поддржува користење на инфицираните хостови како SOCKS прокси. Платформата за малициозен софтвер исто така има вграден пазар каде што ботови може да се продаваат и купуваат.

Истражувачите очекуваат TA584 да се обиде да таргетира поширок спектар цели и веруваат дека заканувачкиот актер ќе продолжи да експериментира со различни payload-и.

Извори:

• Bleeping Computer – Initial access hackers switch to Tsundere Bot for ransomware attacks Bleeping Computer