多个疑似巴基斯坦APT组织攻击技战术及目标的重合分析——每周威胁情报动态第186期(07.26-08.01)
APT攻击
-
多个疑似巴基斯坦APT组织攻击技战术及目标的重合分析
-
Konni APT组织在攻击活动中使用AutoIt的防御规避策略分析
-
Mandiant深度剖析UNC4393组织背后的运营体系
攻击活动
-
利用GitHub平台分发恶意软件的网络钓鱼攻击活动
-
Hamster Kombat游戏2.5亿玩家成黑客组织的攻击目标
数据泄露
-
印度政府确认电信运营商BSNL用户数据遭泄露
-
墨西哥最大的ERP公司数据泄露事件暴露逾7.5亿条记录
恶意软件
-
Mint Stealer恶意软件框架的深度分析报告
-
PKfail安全启动绕过允许攻击者安装UEFI恶意软件
勒索软件
-
俄罗斯勒索软件团伙占全球勒索收益的69%
-
揭秘RansomHub勒索软件新感染链
APT攻击
多个疑似巴基斯坦APT组织攻击技战术及目标的重合分析
近日,SEQRITE 实验室的APT团队揭露了一系列由巴基斯坦多个高级持续性威胁(APT)组织发起的针对印度关键政府实体的复杂网络攻击活动。主要是由Transparent Tribe(APT36)、SideCopy和RusticWeb这三个APT组织针对印度的关键基础设施,如空军、造船厂和港口,实施了一系列精心策划的网络攻击活动。这些活动也揭示了这些APT组织对这些关键领域的攻击活动的策略、武器和行为。研究发现,这些APT组织在技术、策略和资源上表现出显著的重叠。有一个关键的发现是,一个域名同时托管了SideCopy和APT36的恶意负载,这些负载分别针对Windows和Linux环境。SideCopy使用的RAT有效负载连接到一个C2服务器,该服务器的通用名称与APT36有关联,显示出两个APT组织可能存在资源共享或协调行动。
这些攻击活动的攻击过程开始于精心设计的诱饵文件和钓鱼邮件,诱导目标下载和执行恶意负载。SideCopy组织采用了与SideWinder相同的更新版HTA文件来逃避安全检测,实现了完全无法检测(FUD)的效果。攻击者利用MSI包分发的反向RAT,使用“印度空军”主题作为诱饵,同时还发现了反向RAT的内存版本,以及针对造船厂和港口的DOTM文件和BAT文件。攻击者还使用了新的有效载荷,如Cheex和USB复制器,用于窃取文档和图像,以及FileZilla应用程序和SigThief脚本来非法获取敏感数据。他们在巴基斯坦的地点对这些攻击载荷进行了针对防病毒的规避测试,同时,攻击者将来自印度受害者的网络流量,通过设置在巴基斯坦的IP地址上的IPsec加密通道进行传输。这样做的目的是为了隐藏流量的真实来源,使得追踪攻击行为变得更加困难。Transparent Tribe组织则专注于Linux系统,使用基于Golang的下载器从Google Drive等云服务下载最终的有效载荷。它们还利用Poseidon恶意软件,通过桌面快捷方式传播,这些快捷方式包含与印度政府文件相关的诱饵主题。此外,被发现的开放目录域名campusportals[.]in托管了多个文件夹,其中包含APT36的Linux有效负载,同时隐藏URL托管了SideCopy的HTA启动器。这些攻击载荷的最终目标是实现对目标系统的远程访问和控制,以及数据的收集和外泄。
通过这些发现,SEQRITE 实验室强调了巴基斯坦APT组织在针对印度的网络攻击中的交集和协同。APT36主要针对Linux系统,而SideCopy则针对Windows系统,不断增加其武器库中的新有效载荷。2024年第二季度,已报告多个与巴基斯坦有关的威胁组织针对印度,包括使用基于Android的恶意软件的Operation Celestial Force(Cosmic Leopard)和另一个利用WhatsApp分发SpyNote RAT的新组织。
图 1 多个APT组织攻击重叠的感染链
参考链接:
Konni APT组织在攻击活动中使用AutoIt的防御规避策略分析
Genians安全中心(GSC)的最新研究报告深入剖析了Konni APT一种新型的网络攻击手段。攻击者通过精心设计的快捷方式(LNK)文件和AutoIt脚本,伪装成税务审计和财务报告文件,对特定目标进行定向攻击。这种攻击手法不仅针对韩国部门的工作人员,也波及到虚拟资产交易者,韩国国税厅已发出警告,提醒公众提高警惕。
攻击者首先通过电子邮件发送伪装的税务审计或财务报告文件,这些文件通常以ZIP压缩包的形式出现,内含伪装的快捷方式文件。受害者在不知情的情况下打开这些文件,便会触发一连串的自动化恶意操作。快捷方式文件被设计为在终端上执行内部侦查,而AutoIt脚本则用于调用和执行更深层次的恶意命令,这些操作往往能逃避传统的防病毒软件检测。攻击者利用AutoIt脚本的隐蔽性和灵活性,通过编写复杂的脚本命令,实现了对受感染终端的远程控制和数据窃取。这些脚本在执行时,会与远程的命令控制(C2)服务器进行通信,下载额外的恶意软件组件,进一步扩大攻击的影响范围。攻击者还精心操纵电子邮件发件人地址,模仿官方域名,以增加可信度,使得攻击更加难以被察觉。
GSC的深入分析揭示了攻击者使用的恶意软件具有高度的复杂性和适应性。这些软件不仅能够逃避防病毒软件的检测,还能够在终端上执行持久化操作,确保攻击者能够长期控制受感染系统。通过对恶意软件的反编译和行为分析,GSC发现了攻击者使用的多种技术手段,包括但不限于快捷方式文件的滥用、AutoIt脚本的隐蔽执行、以及C2服务器的远程控制。攻击者在攻击过程中表现出高度的策略性和技术性。他们不仅在文件命名和内容上进行伪装,还在技术实现上进行了多层次的隐藏和混淆。例如,通过在ZIP压缩包中隐藏恶意LNK文件,或通过Web服务器传播,增加了攻击的隐蔽性和传播范围。此外,攻击者还利用了AutoIt脚本的隐蔽性,通过在终端上安装后门,保持对受感染系统的控制,并窃取敏感数据。
图 2 Konni APT组织攻击流程示意图
参考链接:
https://www.genians.co.kr/blog/threat\_intelligence/autoit
Mandiant深度剖析UNC4393组织背后的运营体系
Mandiant的研究团队近期揭露了UNC4393这一网络攻击组织的复杂攻击模式。自2022年起,UNC4393组织以其财务驱动的动机,成为BASTA勒索软件的主要使用者,其攻击足迹遍布20个不同的行业领域,尽管医疗组织并非其传统目标,但今年该行业的几起泄露事件显示了他们兴趣的可能扩展。Mandiant在2022年中期首次监测到与QAKBOT相关的多次入侵事件。这些事件最终导致了BEACON勒索软件的部署,这一系列行动被认定是UNC4393组织所为。该组织利用QAKBOT僵尸网络获得的初始访问权限,通过钓鱼邮件或HTML隐藏技术分发恶意负载。不同于传统的勒索软件即服务(RaaS),BASTA通过私人或邀请制的模式运作,不公开招募下线,而是通过地下社区的合作伙伴或购买来获取初始访问权限。
随着QAKBOT基础设施在2023年底被FBI和美国司法部打击,UNC4393开始转向其他分发渠道,如DARKGATE,并通过多种技术手段,包括SILENTNIGHT后门、DNS BEACON、以及定制恶意软件,来建立和维持对目标环境的访问。SILENTNIGHT后门的多功能插件框架使其能够进行系统控制、屏幕截图捕获、键盘记录等操作,进一步加深了攻击的隐蔽性和复杂性。Mandiant观察到,UNC4393组织在获得初始访问后,会使用一系列开源工具和定制工具,如BLOODHOUND、ADFIND、PSNMAP以及COGSCAN,来映射受害者网络并寻找横向移动或提升权限的途径。此外,该组织还展示了通过SMB BEACON和RDP进行横向移动的能力,并利用Windows Management Instrumentation (WMI)进行远程执行,迅速扩散恶意软件。在数据收集和勒索方面,UNC4393组织也表现出了高效率。他们使用RCLONE等工具快速收集数据,并利用多方面的敲诈策略来施压受害者支付赎金。值得注意的是,当勒索软件的执行失败时,该组织有时会选择放弃当前目标,转而专注于其他受害者,但这并不意味着未成功的勒索尝试会为受害者提供未来的免疫。
Mandiant的研究表明,UNC4393组织是一个适应性强、行动迅速的网络犯罪组织,其从利用现成工具到定制恶意软件的快速发展,以及从手动部署勒索软件到开发KNOTROCK的转变,都体现了其不断优化攻击技战术的决心。随着网络威胁的不断演变,UNC4393组织的行动提醒着我们必须采取更主动和强大的安全措施来保护我们的网络环境。
图 3 UNC4393入侵生命周期
参考链接:
https://cloud.google.com/blog/topics/threat-intelligence/unc4393-goes-gently-into-silentnight
攻击活动
利用GitHub平台分发恶意软件的网络钓鱼攻击活动
Check Point的研究人员近期揭露了在GitHub上进行的一项前所未有的高度复杂的网络钓鱼行动。这个名为“Stargazers Ghost Network”的网络钓鱼团伙正通过恶意代码库分发恶意软件,主要目标是游戏玩家、社交媒体爱好者和加密货币持有者。
GitHub,作为微软旗下的最大开源托管平台,拥有超过1亿开发者和4.2亿个代码库,是软件开发者重要的协作工具。然而,网络钓鱼者正利用这一点,通过创建假账户和代码库来分发恶意软件和链接。Check Point的研究人员在报告中指出,这种使用假账户进行网络钓鱼攻击以分发恶意软件的手法是前所未见的。该网络的操作者被识别为“Stargazer Goblin”,这一威胁行为者最初是在2023年6月通过暗网上的广告被发现的,当时还提供了每个操作的价格清单。
Check Point指出,这个网络的复杂性在于其能够通过点赞、转发和订阅等操作,使恶意代码库看起来合法化。假账户可能拥有包含恶意链接的代码库,并通过其他假账户提升其知名度,进而发布恶意代码库。该网络专注于特定受害者群体,使用定制的网络钓鱼模板和标签来针对性地攻击用户。目标兴趣广泛,包括但不限于社交媒体、游戏和加密货币等。研究人员警告,威胁行为者能够通过传播勒索软件、窃取凭证或破坏加密货币钱包,对用户产生重大影响。目前,这些GitHub上的恶意代码库主要针对Windows用户,但研究人员也指出,类似的恶意软件分发手段同样可以用来针对Linux或Android用户,这些平台也拥有庞大的用户基础,从而可能对社区产生更大的影响。从5月中旬到6月中旬的监控活动显示,在不到一个月的时间里,“Stargazer Goblin”赚取了大约8000美元。自2022年8月该网络开始活动以来,来自3000多个GitHub幽灵账户的收入可能超过10万美元。该网络采用“服务分发”(DaaS)模式,分发包括Atlantida Stealer、Rhadamanthys、RisePro、Lumma Stealer和RedLine在内的多种类型的恶意软件。
Check Point的研究人员认为,GitHub上的幽灵账户可能只是冰山一角,可能只是更大图景的一部分。他们还发现了其他平台上的幽灵账户,如Twitter、YouTube、Discord、Twitch、Instagram等,这些账户可能也在进行类似的活动。此外,Cybernews之前的研究发现,Docker Hub上有高达五分之一的代码库含有恶意内容。这一发现提醒所有平台上的用户对任何包含可执行文件的链接保持警惕,因为即便是声誉良好的代码库也可能遭到破坏,并被用来分发恶意软件。
参考链接:
https://cybernews.com/security/secretive-phishing-network-distributing-malware-on-github/
Hamster Kombat游戏2.5亿玩家成黑客组织的攻击目标
随着Hamster Kombat游戏的爆红,网络犯罪分子开始利用这款游戏的庞大用户基础,通过假冒的Android和Windows软件对玩家进行间谍软件和信息窃取恶意软件的攻击。Hamster Kombat是一款点击类手机游戏,玩家通过完成简单任务,主要是点击屏幕,来赚取虚拟货币。该游戏自2024年3月推出以来,因其潜在的赚取与游戏相关的TON加密货币代币的能力而受到广泛关注,该加密货币预计将在今年晚些时候推出。游戏基于Telegram平台,要求玩家加入其Telegram频道,扫描由机器人提供的QR码,然后在Android设备上启动网络应用进行游戏。自推出以来,游戏的用户增长迅猛,拥有超过2.5亿玩家和5300万Telegram频道用户。ESET安全研究人员发现,威胁行为者利用Hamster Kombat游戏作为诱饵,甚至扩展到Android以外的其他平台,如Windows。在Telegram上,各种假冒Hamster品牌的频道向寻找官方频道的用户分发Android恶意软件。
ESET特别指出一个名为'HAMSTER EASY'的频道,该频道分发名为Ratel的Android间谍软件作为APK文件('Hamster.apk'),该文件不包含任何合法功能。Ratel能够拦截短信和设备通知,但主要用于订阅受害者到付费服务,恶意软件操作者从中获利。该恶意软件隐藏了200个应用的通知,使得受害者从未意识到他们已经订阅了各种付费服务。另一场恶意活动使用伪造网站,如'hamsterkombat-ua.pro'和'hamsterkombat-win.pro',声称提供游戏,但实际上将访问者重定向到广告页面以赚取收入。ESET指出,针对Windows用户的Hamster Kombat品牌诈骗也在使用,通过恶意GitHub仓库分发Lumma Stealer,声称为加密货币游戏提供农场机器人。ESET的报告中写道他们发现的GitHub仓库要么在发布文件中直接提供了恶意软件,要么包含了从外部文件共享服务下载恶意软件的链接。他们还发现了三种不同的Lumma Stealer加密器潜伏在仓库中:C++应用程序、Go应用程序和Python应用程序。其中,Python版本准备得更为精心,甚至具有图形安装程序,以进一步欺骗直到恶意软件安装过程结束。
参考链接:
数据泄露
印度政府确认电信运营商BSNL用户数据遭泄露
近期,印度电信行业巨头 Bharat Sanchar Nigam Limited(BSNL)的用户数据泄露事件震惊了整个印度政府。7月24日,印度通信部国务部长钱德拉·谢卡尔·佩尔马萨尼在议会下院宣布了这一消息,回应了国大党议员阿马尔·辛格的质询。据该部长透露,该数据泄露事件发生于5月20日。印度计算机应急响应团队(CERT-In)在调查过程中发现,BSNL 的一台文件传输协议(FTP)服务器中的数据与 CERT-In 所掌握的泄露数据样本一致。尽管如此,BSNL 的家庭位置登记器(HLR)并未报告任何泄露,网络服务也未受到影响。为了应对此次事件并防止未来类似情况发生,印度政府迅速成立了一个部际委员会(IMC),专门负责调查电信网络的安全问题,并提出补救措施。此次数据泄露的规模和性质令人震惊。据一名自称为 "kiberphant0m" 的用户在 Breachforums 网站上声称,他们从 BSNL 窃取了近278TB的数据。这些数据包括国际移动用户身份(IMSI)号码、SIM 卡详情、HLR 数据库信息、DP 卡数据以及 DP 安全关键数据,这些都是支撑 BSNL 安全机制的核心信息。"kiberphant0m" 计划以 5000 美元的价格出售这些数据。面对这一安全挑战,BSNL 采取了一系列紧急措施,包括更新所有类似 FTP 服务器的访问密码,并要求所有网络连接设备保持空气间隙,以确保安全的计算机网络与开放网络物理隔离,从而提高安全性。
参考链接:
https://www.cysecurity.news/2024/07/indian-govt-confirms-bsnl-user-data.html
墨西哥最大的ERP公司数据泄露事件暴露逾7.5亿条记录
近日,一家位于墨西哥的顶尖企业资源规划(ERP)公司因数据库未加密而意外泄露了数以百万计用户的敏感信息。这一事件是由网络安全研究员杰里迈亚·福勒(Jeremiah Fowler)发现的,他已将发现的结果报告给了“Website Planet”。据福勒称,该数据库包含7.69亿条记录,任何知道如何查找的人都可以访问。泄露的数据包括高度敏感和可识别个人身份的信息,例如API密钥、密钥、银行账号、税务识别号和电子邮件地址。该数据库大小为395GB,属于ClickBalance公司,这是一家提供包括行政管理自动化、会计、库存和工资单等云商务服务的软件供应商。“Website Planet”将ClickBalance描述为墨西哥最大的ERP技术供应商之一。在发现数据库后,福勒立即联系了ClickBalance,该公司在几小时内就保护了数据库。然而,目前尚不清楚是否有恶意行为者在数据被保护之前访问了这些数据,或者这些数据是否已被用于任何恶意活动。福勒强调,只有全面的深度调查才能确定曝光的全部范围。税务识别号和银行账户详细信息的泄露会带来重大风险,使网络犯罪分子能够进行欺诈活动。活跃电子邮件地址的被盗特别令人关注,因为它允许犯罪分子发起可以传递恶意软件和勒索软件的网络钓鱼攻击。尽管潜在后果严重,但未加密数据库是数据泄露的常见原因。许多大型企业和政府组织被发现拥有缺乏足够保护的在线数据库。例如,先前的一次事件导致了整个巴西人口的个人信息被泄露。
参考链接:
https://www.cysecurity.news/2024/07/erp-firm-data-breach-exposes-over-750.html
恶意软件
Mint Stealer恶意软件框架的深度分析报告
网络安全公司Cyfirma今日发布了一份深度分析研究报告,详细揭示了Mint Stealer这一新型信息窃取恶意软件的技术细节。Mint Stealer是一种基于Python的信息窃取恶意软件,作为恶意软件即服务(MaaS)框架的一部分,专门设计用于从受感染的系统中秘密窃取敏感数据。Mint Stealer作为一种MaaS工具,能够隐蔽地从受感染系统中窃取包括网页浏览器数据、加密货币钱包详情、游戏凭证、VPN客户端信息、消息应用数据、FTP客户端数据等在内的广泛敏感数据。它使用加密和混淆技术来逃避检测,并通过Telegram提供支持。
Cyfirma的专家团队对Mint Stealer进行了全面的技术分析,从其编译过程到执行机制,再到数据窃取和传输的各个环节。研究发现,Mint Stealer使用Nuitka Python编译器进行编译,这一步骤显著提高了其在受感染系统中的隐蔽性和执行效率。该恶意软件通过精心设计的多阶段执行流程,巧妙地避开了常见的安全检测。在第一阶段,Mint Stealer以一个看似无害的可执行文件形式存在,该文件在执行时会访问其资源部分,检索并解压下一阶段的有效载荷。这一过程涉及到对系统环境的检查,以确保没有调试器或分析工具正在运行,从而降低被发现的风险。进入第二阶段,Mint Stealer开始在受感染的系统中创建临时目录,并从中加载必要的库和代码,为后续的数据收集和操作做准备。这一阶段的关键活动包括对系统信息的收集,以及对各种应用程序数据的窃取,这些数据包括但不限于浏览器信息、加密货币钱包详情、游戏凭证等。第三阶段是Mint Stealer的核心,它在此阶段全面收集系统数据,并将收集到的数据组织存储在临时目录中。随后,这些数据被压缩并上传到免费的文件共享网站,这一步骤进一步掩盖了其恶意行为。Mint Stealer还与远程的命令与控制(C2)服务器进行通信,接收更新和指令,确保其操作的持续性和适应性。
Mint Stealer的开发者还展示了高度的适应性和技术熟练度,他们通过不断更新其恶意软件以绕过安全防护措施,如Windows Defender。此外,他们利用不受限制的托管服务和强大的C2系统来维持其操作的持续性和隐蔽性。Cyfirma的报告还指出,Mint Stealer通过Telegram提供客户支持,并通过多个专门网站进行销售,这表明了其背后的开发者已经建立了一个成熟的市场和分销网络。这种恶意软件的传播和支持渠道的建立,进一步凸显了网络犯罪生态系统的复杂性和组织性。
参考链接:
PKfail安全启动绕过允许攻击者安装UEFI恶意软件
近日Binarly研究团队的最新研究揭示了PKfail漏洞,这一严重的供应链问题对UEFI生态系统中的安全启动功能构成威胁,影响全球数百万设备。PKfail漏洞允许攻击者绕过安全启动机制,安装难以检测的UEFI恶意软件,如CosmicStrand和BlackLotus,从而危及整个系统的安全性。
PKfail漏洞源于许多设备使用了由美国大趋势国际公司(AMI)生成的测试安全启动“主密钥”(Platform Key, PK),这些密钥本应在产品发布前由原始设备制造商(OEM)或设备供应商替换为安全生成的密钥。然而,这一替换过程常常被忽视,导致大量设备携带了不可信的密钥,从而容易受到攻击。PKfail漏洞影响深远,波及了包括宏碁、戴尔、富士通、惠普、英特尔、联想等在内的10家知名供应商的813种产品。Binarly研究团队在2023年5月发现的供应链安全事件中,英特尔Boot Guard和AMI的私钥泄露进一步加剧了这一问题。私钥泄露事件影响了多家供应商,且受影响的设备仍在广泛使用中,使得攻击者有机会操纵关键的密钥数据库,完全绕过安全启动保护。受影响的固件最早可追溯至2012年5月发布,最新的漏洞发现于2024年6月,这一供应链问题持续了超过12年。为了减轻PKfail的影响,建议设备供应商在发货前用安全生成的密钥替换由独立BIOS供应商提供的任何测试密钥,并遵循使用硬件安全模块等密码学密钥管理的最佳实践。用户应定期检查并应用设备供应商发布的固件更新,以解决PKfail漏洞。
参考链接:
勒索软件
俄罗斯勒索软件团伙占全球勒索收益的69%
根据区块链情报和分析公司TRM Labs的最新报告,使用俄语的网络犯罪分子在上一年度至少占据了与勒索软件相关的加密货币收益的69%,总额超过5亿美元。这一数据凸显了俄罗斯在加密货币辅助洗钱和金融犯罪领域的显著影响力。报告指出,俄罗斯网络犯罪分子不仅在勒索软件领域占据主导地位,还在非法加密货币交易所和暗网市场等其他涉及加密货币的网络犯罪活动中占据领先地位。勒索软件是一种网络犯罪形式,攻击者通过窃取和加密受感染系统上的数据,然后要求赎金以换取解密密钥并承诺删除被盗文件。
2023年,LockBit、Black Basta、ALPHV/BlackCat、Cl0p、PLAY和Akira等主要参与者均由使用俄语的威胁行为者运营。尽管勒索软件格局不断变化,例如ALPHV/BlackCat已关闭,LockBit自执法部门干预以来活动减少,但新的团体如RansomHub正在填补空缺,并迅速成长为最活跃的勒索软件团伙之一。TRM报告称,LockBit和ALPHV在2023年单独收集的加密货币赎金支付至少为3.2亿美元,而所有俄罗斯勒索软件收益超过了5亿美元,占全球勒索软件收益的三分之二以上,其余31%的份额由全球其他国家的勒索软件团体占有。
此外,俄罗斯语言的暗网市场销售各种非法物品和服务,占全球所有此类销售记录的95%。2023年,三个最大的俄罗斯暗网市场处理了14亿美元的交易,而同期西方市场的总额仅为1亿美元。在洗钱方面,俄罗斯同样占据主导地位。TRM声称,总部位于俄罗斯的Garantex单独占据了全球受制裁实体处理的加密货币的82%。美国在2022年对Garantex实施制裁,指控其帮助为Hydra暗网市场洗钱。TRM认为,俄罗斯人在网络犯罪中的过度参与可以归因于一系列历史、监管和规范问题,这些问题将技术熟练的俄罗斯人推向了这个领域。同时,俄罗斯与西方世界的政治孤立加剧了追踪、破坏和逮捕俄罗斯网络犯罪分子的挑战。当前局势有效地降低了网络犯罪活动的风险,而高利润的潜力仍然具有吸引力。
参考链接:
揭秘RansomHub勒索软件新感染链
网络安全研究实验室Lab52在对抗勒索软件的斗争中强调,我们不能仅仅关注最终的恶意软件样本,而且还必须关注其部署的每个阶段。近日他们针对RansomHub勒索软件的新感染链做了深度分析,这一勒索软件即服务(RaaS)组织的攻击策略和影响力正在全球范围内迅速扩散。RansomHub自2024年初露锋芒,其代码与此前地下论坛中售卖的Knight勒索软件有着直接联系。该组织通过不断演化其攻击手段,已成功引起了全球安全研究者的关注。在BlackCat附属机构使用RansomHub对Change Healthcare组织发起攻击后,RansomHub的知名度和影响力进一步扩大。Lab52实验室在分析RansomHub的两个样本时发现,这些样本不仅通过命令行参数执行,还具备关闭虚拟机和快速加密模式等高级功能。此外,RansomHub是用Go语言开发的。它使用一个名为Garble的开源混淆器,通过两种方式阻碍分析。首先是通过移除模块名称并用随机字符字符串替换一些名称。可以使用GoReSym工具恢复一些模块名称,使用说明可在其GitHub页面上找到。第二种方法是混淆可执行字符串。可以使用OALabs报告中描述的脚本对其进行解密。需要注意的是,该脚本并不解密所有字符串,因为一些函数被优化,导致模式停止工作。RansomHub的开发者还运用了Garble混淆器,使得静态和动态分析都面临重重困难。
在感染链方面,RansomHub的攻击者使用了Advanced Port Scanner和ScreenConnect等工具进行设备侦察,并运用混淆的PowerShell脚本延迟执行,增加了追踪和分析的难度。这些策略使得RansomHub在勒索软件领域迅速崛起,成为全球影响最大的组织之一。据Lab52的统计,RansomHub在2024年6月已成为全球最受关注的勒索软件组织之一,尤其在拉丁美洲和欧洲地区,其攻击活动造成了大量已知受害者,严重影响了当地组织的网络安全。
图 4 RansomHub 攻击感染链
参考链接:
https://lab52.io/blog/ransomhub/
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
