译者：知道创宇404实验室翻译组
原文链接：https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

微软威胁情报中心(MSTIC)已经确认了一个破坏性的恶意软件攻击活动，目标是在乌克兰的多个组织。这个恶意软件于2022年1月13日首次出现在乌克兰的受害者系统中。由于乌克兰及周边地区正在发生的地缘政治事件，微软鼓励各组织利用本帖中的信息积极防范任何恶意活动。

虽然我们的调查仍在继续，MSTIC 没有发现这个观察到的攻击活动（记录为为 DEV-0586）和其他已知的活动团体有显著关系。MSTIC认为，这种恶意软件看起来像勒索软件，但缺乏赎金回收机制，它的目的是破坏，它想要的是使目标设备无法使用，而不是获得赎金。

目前，基于微软的可见性，我们的调查小组已经确认了几十个受影响系统中的恶意软件，而且随着我们调查的继续，这个数字还会增加。这些系统包括多个政府、非营利组织和信息技术组织，都设在乌克兰。我们不知道这个攻击者的行动步骤目前处于什么阶段，也不知道在乌克兰或其他地区还有多少其他受害组织。然而，这些受影响的系统很可能不像其他组织报告的那样就是受影响范围的全部。

鉴于所观察到的入侵的规模，MSTIC无法评估目前发现的破坏性行动的意图，但确实认为这些行动对设在乌克兰境内或系统在乌克兰的任何政府机构、非营利组织或企业构成了更大的风险。我们强烈鼓励所有组织立即进行彻底的调查，并利用本帖提供的信息实施防御措施。当我们有更多的信息要分享时，MSTIC 将会更新这个博客。

正如所观察到的任何国家攻击者的活动一样，微软直接并主动地通知被攻击或泄密的客户，为他们提供用于调查需要的信息。MSTIC 还与全球安全圈成员和其他战略伙伴积极合作，分享能够通过多种渠道应对这一不断演变的威胁的信息。微软使用 DEV-#### 标记作为一个临时名称给这一个未知的，新出现的，或正在发展的威胁活动集群，使 MSTIC 能够把它作为一个独特的信息集合来跟踪，直到我们真正搞清楚攻击活动的来源或者身份。一旦确定，DEV 就会进行修改。

观察到的攻击活动

1月13日，微软确认了来自乌克兰的入侵活动，似乎可能是主引导记录(MBR)雨刷活动。在我们的调查过程中，我们发现了一种独特的恶意软件能力，它被用于对乌克兰多个受害组织的入侵攻击。

第一步: 覆盖主引导记录显示一张伪造的勒索信

这些恶意软件存在于各种工作目录中，包括 C:\PerfLogs, C:\ProgramData, C:\ 和C:\temp，并且通常被命名为 stage1.exe。在观察到的入侵中，恶意软件通过 Impacket 执行，这是一种公开可用的能力，攻击者经常使用这种能力进行横向移动和执行。

这个两阶段的恶意软件会在受害者系统上用勒索信覆盖主引导记录。MBR 是硬盘驱动器的一部分，它告诉计算机如何加载其操作系统。这封勒索信包含了一个比特币钱包和Tox ID (Tox加密信息协议中使用的唯一账户标识符) ，这是以前没有被 MSTIC 观察到的:

你的硬盘已经被损坏了。
如果你想要恢复你组织的所有硬盘，你就要通过比特币钱包 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv 支付我们1万美元，然后通过tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65 与我们联系，我们之后会给你下一步的指示。

当相关设备关闭电源时，恶意软件就会执行。覆盖 MBR 对于网络犯罪勒索软件来说并不常用。实际上，勒索软件是一个诡计，恶意软件的目的是破坏 MBR 和它所针对的文件内容。这种行为与 MSTIC 观察到的网络勒索软件犯罪行为不符的原因有以下几点:

• 勒索软件的有效载荷通常是针对每个受害者定制的。在这次事件中，在多个受害者身上观察到相同的勒索载荷。
• 几乎所有勒索软件都对文件系统上的文件内容进行加密。在这次事件中，恶意软件会覆盖没有恢复机制的 MBR。
• 在现代违法的赎金票据中，明确的支付数额和加密货币钱包地址很少是具体的，但 DEV-0586中是具体的。在所有 DEV-0586入侵中都观察到了相同的比特币钱包地址，在分析时，唯一的活动是1月14日的一次小规模转账。
• 通信方法很少只有 Tox ID，一个与 Tox 加密消息协议一起使用的标识符。通常情况下，有一些网站拥有支持论坛或多种联系方式(包括电子邮件) ，让受害者能够轻松地成功地联系上对方。
• 大多数犯罪勒索信包括一个自定义的身份证，受害者被指示将他们的通信发送给攻击者。这是这个过程的一个重要部分，在这个过程中，自定义 ID 将勒索软件操作的后端映射到受害者特定的解密密钥。本例中的赎金通知却不涵盖自定义 ID。

微软将继续监控 DEV-0586的活动，并为我们的客户实施保护。目前侦测，先进侦测，和 IOCs 信息详细如下。

第二阶段: 文件腐蚀恶意软件

Stage2.exe 是一个恶意文件破坏程序的下载程序。在执行时，stage2.exe 下载下一阶段恶意软件,托管在一个不和谐频道，下载链接硬编码在下载器。下一阶段的恶意软件可以描述为一个恶意文件破坏者。一旦在内存中执行，破坏程序就会使用以下硬编码文件扩展名之一来定位系统中某个目录中的文件:

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

如果一个文件带有上面的一个扩展名，损坏程序会用固定数量的0xCC字节(总文件大小为1 MB)覆盖文件的内容。覆盖内容之后，析构函数用一个看似随机的四字节扩展名重命名每个文件。

建议客户采取的行动

MSTIC 和微软安全团队正在为这项活动创建和实施检测。迄今为止，微软已经通过 Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 实施了 WhisperGate (例如 DoS:Win32/WhisperGate.A!dha)保护来检测这个恶意软件，无论这些软件部署在何处的场所和云环境。我们正在继续调查，并将与受影响的客户、公开和私密部门的合作伙伴分享重要的最新信息。攻击者所使用的技术以及本文所述的技术可以通过采用下面提供的安全考虑因素得到缓解:

• 使用IoC来调查它们是否存在于您的环境中，并评估潜在的入侵。
• 检查远程访问基础设施的所有身份验证活动，特别关注那些配置了单因素身份验证的帐户，以确认真实性并调查任何异常活动。
• 启用多因素身份验证(MFA) ，以减少可能受到破坏的凭据，并确保对所有远程连接都执行 MFA。
• 在 Microsoft Defender for Endpoint 中启用受控文件夹访问(CFA) ，以防止 MBR/VBR 修改。

IOCs

以下列表提供了我们调查期间观察到的 IOCs。我们鼓励客户在其环境中调查这些指标，并实施侦测和保护，与以前的相关活动核对，并防止其系统受到攻击。

注: 这些指标还有待完善。

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1815/