【独家】猎影实验室起底Kuiper勒索组织并支持解密

近期，安恒研究院猎影实验室发掘了Kuiper勒索组织的相关情报数据，成功获取到三个版本的Kuiper勒索样本，以及一些解密密钥、入侵脚本、勒索源代码、密钥信息和部分受害者资料。

如欲尝试解密，可联系安恒信息当地商务人员或猎影实验室，以便更深入地了解相关信息。

01

Kuiper勒索组织情况概览

Kuiper勒索组织最早出现于2023年9月，窃取了大量受害者的各种敏感文件数据，包括PDF、文档、表格和图片等文件类型，目前已有国内资产受到该勒索组织攻击的影响。

猎影实验室通过还原其入侵过程，揭示了该组织的技术手段、策略和程序工具。以下是该组织的特征：

1

Kuiper勒索组织利用开源工具和漏洞，成功获取受害主机的初始访问权限，并使用transfer作为中转传输工具，将受害者数据传输至指定目标。

2

Kuiper勒索软件采用Go语言交叉编译，支持Windows、Linux和MacOS系统，采用AES/ChaCha与RSA组合加密方案，具有启动安全模式、域内扩散等多种功能。

3

Kuiper勒索组织对国家政府机构、教育机构以及重大基础设施企业等定向进行勒索攻击，有明显的目标锁定策略。

图：Kuiper勒索组织窃取的某国财政部金融情报中心资料

此外，猎影实验室发现Kuiper试图仿冒Facebook进行网络钓鱼，可推测使用仿冒钓鱼网站来获取用户访问权限是该组织的感染方式之一。

图：Kuiper试图仿冒Facebook页面

基于现有的信息，我们对Kuiper勒索组织的基本情况进行了梳理，概览如下：

Kuiper勒索组织基本情况

组织名称

Kuiper

首次出现时间

2023年9月

主要感染方式

网络钓鱼/漏洞利用

开发语言

Golang

加密算法

AES/ChaCha20和RSA组合加密

加密策略

间歇性分块加密

是否支持解密

支持

目标系统

Windows/Linux/MacOS

系统影响

加密文件、终止进程和服务、删除备份、内网扩散、更改壁纸

针对行业

政府、教育、基础设施

勒索信名称

README_TO_DECRYPT.txt

图：Kuiper勒索信样例

02

独家揭秘Kuiper勒索攻击过程

对Kuiper勒索攻击过程的剖析和归纳，总体上可以分为五个主要阶段：初步扫描、获取访问权限、控制主机、数据窃取与勒索软件部署。

图：Kuiper勒索组织攻击流程示意图

整个攻击过程涉及到了多种开源安全工具和应用程序的运用，以下是我们整理的各个阶段所使用工具或者采取的方式：

入侵阶段

使用的工具/方式

初始扫描

nuclei、masscan、SubDomainizer

漏洞利用

ProxyLogon(CVE-2021-26855)

ProxyShell(CVE-2021-34473、 CVE-2021-34523)

控制执行

RedWarden、ngrok、cobaltstrike、Anydesk

收集信息

使用7-zip压缩收集的数据

窃取信息

使用自定义工具stealer或Transfer云盘传输

部署勒索软件

受害主机中部署勒索软件，并在本地网络自主传播

03

跨平台开发能力

Kuiper勒索组织展现出了卓越的跨平台开发技能，其具备在Windows、Linux和MacOS系统下实施加密的能力，并且设置了避免加密的目录。

Windows系统避免加密目录列表

boot,efi,Windows,sources,Default,Public,Open,sources64,Temp,System32,AppData,SysWOW64,BOOTNXT,support,upgrade,DumpStack.log.tmp,pagefile.sys,swapfile.sys,desktop.ini,ntuser.dat,thumbs,$Recycle.Bin,AppData,perflogs,appdata,ProgramData,System Volume Information,Recovery，Program Files (xor86)

Linux系统避免加密目录列表

/proc, /bin, /sbin, /srv, /boot, /var, /sys, /root, /initrd, /zroot,   /net, /lib, /lib64, /libxor32, /etc, /run, /dev, /tmp, /usr/,  /entropy, /opt

MacOS系统避免加密目录列表

/Applications, /Library, /System, /bin, /cores, /dev, /etc, /home, /net, /private, /sbin, /tmp, /usr, /var

04

间歇式加密

在加密方面，Kuiper采用了两种加密方法，首选使用AES加密算法，同时也支持配置使用ChaCha算法。它采用了一种间歇性加密策略，根据文件大小的不同分为一般文件加密和大文件加密两种模式。

在大文件加密模式中，每次加密区块大小的50%。此外，根据块的大小，它进一步划分为普通块加密和快速块加密两种模式。对于普通块加密，每次读取1MB的数据，而在快速块加密中，每次读取2MB的数据。这种灵活的加密模式使得Kuiper可以更有效地应对不同类型和大小的文件，提高了加密的效率和适应性。

普通加密和快速加密的区别，在于普通加密一次读取1MB，快速加密一次读取2MB数据，如果文件扩展名在特殊文件策略当中，则采用快速加密。

加密数据后，使用RSA非对称加密算法，将AES/ChaCha密钥进行加密并写入加密文件。

思考总结

Kuiper勒索组织从战术行为上看并无特别突出的技术积累，但成功窃取的数据庞大，涵盖了全球多个国家和地区，显示了其在全球范围内展开活动的广泛性和影响力。这种策略的背后可能包含有组织结构的合理规划和对目标的有针对性选择，值得注意和警惕。

近期勒索攻击频发，数据泄露事件明显增加，广大机构和企业应当采取一系列有力的安全措施。通过强化内部网络安全建设、防微杜渐，方能提高抵御勒索攻击的能力，确保安全有备无患。

防范建议

1. 及时备份重要数据。

2. 不随意打开来源不明的程序。

3. 不访问未知安全性的网站等。

4. 使用合格的安全产品

5. 定期检查系统日志中是否有可疑事件

6. 重要资料的共享文件夹应设置访问权限控制，并进行定期离线备份, 关闭不必要的文件共享功能

7. 不要轻信不明邮件，提高安全意识

目前安全数据部已具备相关威胁检测能力，对应产品已完成IoC情报的集成。