.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
2022 年7 月7 日,CISA 發布了一篇題為“朝鮮國家支持的攻擊者使用Maui 勒索軟件攻擊醫療保健和公共衛生部門”的警報。最近,卡巴斯基實驗室的研究人員又對Maui 勒索軟件進行了研究,並將其出現的時間從2021 年5 月提前到了2021 年4 月15 日。由於早期事件中的惡意軟件是在2021年4月15日編譯的,而所有已知樣本的編譯日期都是相同的,因此這次事件可能是有史以來第一次涉及Maui 勒索軟件的事件。
雖然CISA 在其報告中沒有提出有力的證據將此次攻擊歸咎於朝鮮攻擊者,但卡巴斯基實驗室的研究人員確定,在將Maui部署到初始目標系統大約10小時前,該組織向目標部署了眾所周知的DTrack惡意軟件的變體,幾個月前又部署了3proxy(一個由俄羅斯人開發的多平台代理軟件)。綜上所述,研究人員十分有把握,認為這與針對韓國的APT組織Andariel類似。 Andariel是Lazarus組織下的一個子組,主要攻擊目標為韓國企業和政府機構。
2020.12.25:發現可疑的3proxy 工具;
2021.4.15:發現DTrack 惡意軟件;
2021.4.15:發現Maui 勒索軟件;
DTrack 惡意軟件
一旦運行這個惡意軟件,它就會執行一個嵌入的shellcode,加載一個最終的Windows 內存中的有效負載。該惡意軟件負責收集受害者信息並將其發送到遠程主機。它的功能幾乎與以前的DTrack 模塊相同。該惡意軟件通過Windows 命令收集有關受感染主機的信息。內存中的有效負載執行以下Windows 命令:
此外,該惡意軟件還會收集瀏覽器歷史數據,並將其保存到browser.his 文件中,就像舊變種一樣。與舊版本的DTrack 相比,新的信息收集模塊通過HTTP 將被盜信息發送到遠程服務器,該變體將被盜文件複製到同一網絡上的遠程主機。
Maui 勒索軟件Maui 勒索軟件是在同一服務器上的DTrack 變種後十小時檢測到的。
Maui 勒索軟件存在多個運行參數。在此事件中,我們觀察到攻擊者使用“-t”和“-x”參數,以及特定的驅動器路徑進行加密:
在這個示例中,“-t 8”將勒索軟件線程數設置為8,“-x”命令惡意軟件“self melt”,“E:”值將路徑(在這個案例中為整個驅動器)設置為加密。勒索軟件的功能與之前Stairwell 報告中描述的相同。
該惡意軟件創建了兩個密鑰文件來實現文件加密:
不同受害者身上的類似DTrack 惡意軟件根據對相鄰主機的滲透信息,研究人員在印度發現了更多受害者。其中一台主機最初於2021 年2 月遭到攻擊。 Andariel 很可能竊取了提升的憑據以在目標組織內部署此惡意軟件,但這種猜測是基於路徑和其他工件,具體細節還需要繼續分析。
該惡意軟件的主要目標與上述受害者的情況相同,使用不同的登錄憑據和本地IP 地址來竊取數據。
Windows命令來竊取數據
從同一個受害者身上,我們發現了其他使用不同登錄憑據的DTrack 惡意軟件(MD5 87e3fc08c01841999a8ad8fe25f12fe4)。
新增DTrack模塊和初始感染方法“3Proxy”工具可能是攻擊者使用的工具,於2020 年9 月9 日編譯,並於2020 年12 月25 日部署給受害者。基於這個檢測和編譯日期,研究人員擴大了研究範圍,發現了一個額外的DTrack 模塊。該模塊編譯於2020年09月16日14:16:21,並在2020年12月初檢測到,與3Proxy工具部署的時間點相似。
這個DTrack模塊非常類似於DTrack的事件跟踪模塊,該模塊之前被報告給我們的威脅情報客戶。在一個受害系統中,我們發現一個知名的簡單HTTP服務器HFS7部署了上面的惡意軟件。在一個易受攻擊的HFS服務器上使用未知漏洞並執行“whoami”後,執行下面的Powershell命令從遠程服務器獲取額外的Powershell腳本:
mini.ps1 腳本負責通過bitsadmin.exe 下載並執行上述DTrack 惡意軟件:
另一個受害者操作了一個易受攻擊的Weblogic 服務器。根據分析,攻擊者通過CVE-2017-10271 漏洞攻擊了該服務器。研究人員看到Andariel 在2019 年年中濫用了相同的漏洞並破壞了WebLogic 服務器。在本案例中,被利用的服務器會執行Powershell 命令來獲取額外的腳本。獲取的腳本能夠從我們上面提到的服務器(hxxp://145.232.235[.]222/usr/users/mini.ps1)下載Powershell 腳本。因此攻擊者至少在2020 年底之前濫用了易受攻擊的面向互聯網的服務來部署他們的惡意軟件。
受害者分析2022年7月的CISA 警報指出,醫療保健和公共衛生部門已成為美國Maui 勒索軟件的攻擊目標。然而,根據我們的研究,我們認為這項業務並不針對特定行業,而且其影響範圍是全球性的。可以確認,有一家日本住房公司於2021 年4 月15 日成為Maui 勒索軟件的攻擊目標。此外,來自印度、越南和俄羅斯的受害者在類似的時間範圍內被日本Maui 事件中使用的DTrack 惡意軟件感染,時間是從2020 年底至2021 年初。
研究表明,該攻擊者相當投機取巧,無論其業務範圍如何,只要擁有良好的財務狀況,就可能成為其攻擊對象。攻擊者很可能偏愛易受攻擊的暴露於互聯網的Web 服務。此外,Andariel 有選擇地部署勒索軟件以獲取經濟利益。
幕後攻擊者是誰?根據卡巴斯基威脅歸因引擎(KTAE),來自受害者的DTrack惡意軟件與之前已知的DTrack惡意軟件具有高度的代碼相似性(84%)。
此外,我們發現DTrack 惡意軟件(MD5 739812e2ae1327a94e441719b885bd19) 使用與“Backdoor.Preft”惡意軟件(MD5 2f553cba839ca4dab201d3f8154bae2a) 相同的shellcode 加載程序,此後門由賽門鐵克發布。請注意,賽門鐵克最近將Backdoor.Preft 惡意軟件描述為“aka Dtrack, Valefor”。除了代碼相似性之外,攻擊者還使用了3Proxy 工具(MD5 5bc4b606f4c0f8cd2e6787ae049bf5bb),該工具之前也被Andariel/StoneFly/Silent Chollima 組織(MD5 95247511a611ba3d8581c7c6b8b1a38a) 使用。賽門鐵克將StoneFly 歸咎於DarkSeoul 事件背後的攻擊者。
總結綜合分析,Maui 勒索軟件事件背後的攻擊者TTP 與過去的Andariel/Stonefly/Silent Chollima 活動非常相似:
在初始感染後使用合法代理和隧道工具或部署它們以保持訪問權限,並使用Powershell 腳本和Bitsadmin 下載其他惡意軟件;
使用漏洞攻擊已知但未修補的易受攻擊的公共服務,例如WebLogic 和HFS;
專門部署DTrack,也被稱為Preft;
目標網絡中的駐留時間可以在活動之前持續數月;
出於經濟利益,在全球範圍內部署勒索軟件。