Unit 42安全研究人员在2023年1月和2月再次发现了两份新的Trigona勒索通知单。该组织的赎金通知非常独特,不是我们常见的文本,而是在HTML应用程序中显示,其中嵌入了包含唯一计算机ID (CID)和受害者ID(VID)的JavaScript。
Trigona 是一种大型无刺蜜蜂家族的名称,2022年10月底,某安全研究人员首次在推特上提及该勒索软件的名字。与此同时,Unit 42的安全顾问们也开始注意到Trigona勒索软件在安全事件中的表现。
据Unit 42的观察,Trigona背后的勒索组织惯用的攻击方法为:获得对目标环境的初始访问权、进行侦察、通过远程监控和管理(RMM)软件传输恶意软件、创建新用户账户和部署勒索软件。
Unit 42捕获了Trigona勒索软件样本并进行分析。Trigona勒索软件加密文件名为svhost.exe,在实际执行过程中使用TDCP_rijndael (Delphi AES库)加密文件,会将加密文件重命名为._locked的文件拓展名。
Trigona勒索软件支持以下命令行参数:
如下图所示,Trigona在每个扫描的文件夹中创建一个名为 how_to_decrypt.hta的勒索赎金通知,该文件的HTML代码包含嵌入式JavaScript功能,可显示勒索赎金的具体信息。
如下图所示,在勒索赎金通知的JavaScript部分,Unit 42安全研究人员发现以下信息:
1.特定生成的CID和VID
2.用以支付赎金的Tor网站链接
3.与勒索组织联系的电子邮件地址
从下图可以看到其联系邮箱为[email protected][.]org,此外,研究人员还在其他邮件中发现[email protected][。]]com也是Trigona的联系邮箱。
通过查看Trigona赎金笔记中嵌入式JavaScript中的受害者ID,安全研究人员发现,在2022年12月,至少有15家企业被Trigona勒索软件入侵。同时在2023年1月和2月,又发现了另外两份新的勒索赎金通知。
这些被攻击的企业遍布全球,包括在美国、意大利、法国、德国、澳大利亚和新西兰等,涉及及制造业、金融、建筑、农业、营销和高科技等领域。
安全研究人员发现并跟踪了Trigona勒索软件的一个常用服务器地址,一个HTML标题为Trigona Leaks的web服务器,该服务器一直活跃到2023年3月3日,如下图所示:
每个帖子都包含了以下的信息:
1.被攻击公司的描述
2.受害企业的缩放信息页
3.被盗/加密数据的大概描述
4.链接到示例文件的截图
5.倒计时器
6.一个竞标按钮
当买家有意向购买这些数据时,可以“@出价”按钮,其中包含一个[email protected][.]net邮件地址,该地址支持用户临时创建一个一次性的电子邮件。
Unit 42安全研究人员发现,Trigona勒索软件背后神秘的组织似乎与CryLock勒索软件有相通之处。不论是在战术、技巧还是TTPs上皆是如此。这意味着,两大勒索软件的背后可能是同一个犯罪团伙,当CryLock勒索软件退出舞台时,他们便又开发了新式的勒索软件——Trigona。
如下图所示,Unit 42安全研究人员发现,Trigona勒索软件的赎金通知邮件地址,曾经在CryLock勒索软件的在线讨论论坛中出现过,一名用户在俄罗斯反恶意软件论坛SafeZone上寻求帮助,希望可以避免被Crylock勒索软件勒索。
另外,这两种勒索软件家族都以HTML应用程序格式发送赎金通知,名为how_to_decrypt.hta。赎金信息中也有相似之处,包括:
1.他们都声称“所有文档、数据库、备份都加密”
2.都选择AES作为加密算法
3.附加信息都是“赎金取决于等待的时间”
4.不少技术、工具都一致
Unit 42发现了与Trigona相关恶意活动的证据,这些恶意活动来自一台被入侵的Windows 2003服务器,随后攻击者执行NetScan进行内部侦察。
Unit 42分析人员恢复了NetScan输出,并注意到它包含Cyrillic字符,如下图6所示。将NetScan的默认语言更改为俄语是一个可以在初始安装时配置的选项。
在进行侦察后,Trigona操作人员使用Splashtop(一种远程访问和管理(RMM)工具)将以下恶意软件转移到目标环境中。
这里需要强调的是,攻击者经常出于恶意目的滥用、利用或破坏合法产品,但是,这并不一定意味着被滥用的合法产品存在缺陷或恶意质量,两者不能直接划上等号。
Start.bat是一个执行以下活动的批处理脚本:
1.在C:\temp创建新文件夹
2.将其他恶意批处理文件和EXE文件,从内部服务器复制到新创建的临时文件夹
3.执行Turnoff.bat
Turnoff.bat是一个清除脚本,用于删除系统上的攻击证据,具体操作如下:
1.清除任何已挂载驱动器的回收站
2.使用sc stop和taskkill来停止多个服务,这些服务涉及从远程桌面工具到Windows Defender等各个领域
3.尝试停止VMware、Hyper-V和SQL相关的服务
4.结束上述已停止服务的相关运行任务
5.清除Windows事件日志(使用wevutil cl)
6.删除文件的副本
7.断开所有网络驱动器
Unit 42安全研究人员观察到,Turnoff.bat似乎是Trigona勒索软件所特有的清除脚本工具,而常见的勒索软件清除脚本一般会更小。从turnoff.bat停止各种各样的服务和任务来看,该工具的另一个目的是确保更广泛的系统加密。
Newuser.bat是一个自动批量处理脚本,运行后它会创建一个名为fredla和密码为Qw123456的新用户,随后就会将fredla用户添加到本地组“管理员”和“远程桌面用户”中。当然,攻击者有时会创建特权用户账户以保持对目标系统的访问,而不是在系统上安装持久性远程访问工具。
DC2.exe是一个用于从Windows操作系统提取密码和身份验证凭据等敏感信息的工具,可以用来包括Mimikatz密码。虽然攻击者已经使用UPX对这个版本的Mimikatz进行了压缩,安全研究人员还是发现,攻击者经常使用类似UPX等压缩工具或其他打包程序,来逃避底层有效负载的静态检测。
DC2.exe同时还有密码保护的功能,会增加一个额外的复杂性层时,当可执行文件运行时,攻击者将被提示输入密码才能继续操作。随后还需要计算密码的MD5哈希值,如果它等于4dbf44c6b1be736ee92ef90090452fc2,程序才会继续运行。
在它的许多合法用途中,Unit 42的安全研究人员发现,攻击者通常以以下方式来利用Mimikatz:
1.证书加载:Mimikatz从各种来源(例如如Windows内存、LSASS进程、Windows注册表)加载凭证。
2.凭据存储:提取并将凭据(包括用户名&密码、Kerberos票据等)转存到文件中。
3.凭证操作:Mimikatz允许用户操作转存的凭据,包括更改密码、创建新用户账户等
4.凭据注入:将操作的凭据注入到其他进程中,允许用户模拟特权用户并访问受限资源。
DC4.exe是一个小型的upx打包密码保护二进制文件,它生成并执行一个嵌入式批处理文件。
可对系统进行以下更改:
1.禁用账户控制(UAC)并将cmd.exe设置为HelpPane.exe、utiman .exe、Magnify.exe和setc .exe等。这是创建“Sticky Keys后门”的常用方法,允许创建具有NT AUTHORITY\SYSTEM特权的命令提示符。
2.打开防火墙上的特定端口,允许使用netsh命令进行远程桌面连接。
3.修改Windows注册表允许远程桌面连接。
4.创建一个用户名为“sys”,密码为“Mm1518061+-”的新用户,并将该用户添加到“管理员”和“远程桌面用户”组中。
DC6.exe是公开可用工具Advanced Port Scanner的安装程序,常被打包在Inno Setup安装程序包中,而Inno Setup是Windows程序的免费安装软件。Advanced Port Scanner是一个被攻击者滥用的工具,常用于网络扫描和映射,横向移动和发现目的。在Inno Setup中藏着Advanced Port Scanner为代码增加了额外的混淆层,其目的是为了逃避静态签名检测。
Trigona是一种较新的勒索软件,迄今为止,对于该恶意软件的报道依旧很少,安全社区的关注度也不高。事实上,这也和Trigona谨慎的攻击风格有关,他们会对受害者目标精挑细选,避免出现在新闻头条,让其他的勒索组织、恶意软件占据媒体关注度,从而实现闷声发大财的目的。
这也是本文起底Trigona的意义所在,希望让更多的安全人员了解这一恶意软件,而分享Trigona勒索软件常用的攻击手法、工具以及混淆技术等,则是为了帮助安全人员更好地应对新兴攻击,保护企业/组织免受Trigona勒索攻击。
目前,Trigona勒索软件还处于前期的扩张之中,因此在不久的未来,该恶意软件可能会扩大其恶意攻击行动,企业和安全人员需提高警惕。
参考来源:
https://unit42.paloaltonetworks.com/trigona-ransomware-update/
精彩推荐