主页(http://www.175shouji.com):威胁月报(6月份)
由于本次与 MedusaLocker 黑客组织存在基础设施强关联特征,我们将本次发现的涉及 Windows exploit 线索背后的组织命名为 AzizjLpeWild ,方便后续进行追踪溯源。
通过勒索信中提及的联系邮箱(ithelp02@decorous.cyou、ithelp02@wholeness.business)在国外 资讯站点初步找到了历史关联家族为MedusaLocker ,对关于 MedusaLocker 文章里提及的样本经过人工分析发现与 MedusaLocker 历史家族存在较大相似度,达到 98.7%,可认定本次发现的勒索样本为 MedusaLocker 家族未公开的新变种,结合这一系列强关联链条,因此认定发现的勒索病毒样本属于 MedusaLocker 家族的一部分,该组织拥有了Windows 内核 1 day 漏洞利用能力。
17ccf24c4e09b1bc7ce5c0eb637a4edd
6.封装器(Wrappers)
勒索信名称为 RECOVER-MY-FILES.txt,内容如下,加密完成后桌面屏幕也被经过修改。
2)MedusaLocker组织拥有 Windows 内核漏洞利用能力,可自行开发exploit。
分析人员通过对此次捕获样本所带的恶意代码、样本传播方式,判断本次攻击活动的幕后黑手为响尾蛇(APT-Q-39,SideWinder)。
2.案例2
样本在解密服务器下发的插件时,使的解密密算法和趋势科技厂商曝光的SideWinder的APK解密算法相同,都是前32字节作为KEY和后续数据进行xor解密。
针对路由器和防火墙的间谍恶意程序,可在网络设备中潜伏并根据酸狐狸平台组件分发的规则对网络流量数据进行窃密、劫持、替换等恶意操作。
2.5 IOC
4.标签替换器(MODREWRITES)
(二)阵地基础设施建设
3.4 运作方式
2. C2地址隐蔽性增强,包括硬编码在样本中、加密保存在google play安装链接参数中、通过firebase后台下发C2。
样本2:自身还硬编码了一个C2:”https://register.srvapp.co/”;
声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
17ccf24c4e09b1bc7ce5c0eb637a4edd
Secure VPN_3.9_apkcombo.com.apk
4.Ferret Cannon
MD5
1.项目跟踪器(Project Tracker)
同样的,继续溯源调查发现,历史存在多个具有一定代码相似性的在野内核漏洞利用样本。
其伪装成“Invincible Allah”软件。
SECONDDATE是CNE行动队通过酸狐狸平台进行分发的主要恶意植入体之一,因此酸狐狸平台提供了专门为SECONDDATE设计的自动化任务脚本工具“FABULOUSFABLE”(简称“FABFAB”)。FABFAB可以代替行动队人员与SECONDDATE植入体交互,并按照事先设定好的逻辑,自动化分发规则,并收集规则执行日志和相关回传数据。
2.4 溯源
(一)技术架构
样本3
如图5所展示的服务器上的过滤器规则片段,可以判断该FA服务器被用于攻击IP地址“203.99.164[.]199”的目标,并将向目标植入前文中提到的FerrentCannon恶意负载,从而进一步向目标投送其他间谍软件。经查,IP地址“203.99.164[.]199”归属于巴基斯坦电信公司。
