详解日渐活跃的勒索软件组织：BianLian

研究人员一直在持续跟踪 BianLian 勒索软件团伙，近期该组织已经跻身最活跃的勒索软件团伙 TOP 10。从披露的数据来看，该组织主要针对美国和欧洲的医疗行业和制造业发起攻击。

研究人员还发现，BianLian 勒索软件团伙与 Makop 勒索软件团伙共享了攻击工具，这暗示了二者间可能存在联系。BianLian 也从直接加密数据转为了“双重勒索”，如果受害者不支付赎金的话就会威胁公开窃取的数据。

BianLian 概述

自从 2022 年成立以来，BianLian 团伙一直非常活跃，几乎每周都有入侵成功的组织被披露。2023 年的活动情况如下所示：

每月情况变化

该团伙主要攻击医疗保健业、制造业和法律服务业，并且主要攻击北美、欧盟和印度国家/地区。该团伙的数据泄露网站显示，BianLian 可能正在通过雇佣新的开发人员和附属机构来进行扩张，如下所示：

招聘启事

BianLian 团伙会定期更新已入侵列表，入侵目标的国别分布如下所示。尽管该组织入侵全世界的组织，但美国显然是受影响最严重的国家。

全球分布

医疗保健行业是受攻击最多的行业，制造业紧随其后。2023 年 1 月，该组织声称从加利福尼亚州的一家医院窃取了 1.7TB 的数据，包括患者与员工的个人数据。

目标行业分布

可能与 Makop 勒索软件有关

研究人员发现，BianLian 与 Makop 勒索软件共用一个自己开发的 .NET 攻击工具，这表明二者之间可能存在关联。两个组织也都使用了相同的高级端口扫描程序，其文件的哈希值相同。

.NET 文件负责枚举文件、注册表和剪贴板数据，文件中包含一些俄语单词。这些痕迹表示，这两个组织过去可能共享过攻击工具集或者使用过相同开发者提供的服务。共享代码库或使用相同开发人员的服务，在网络犯罪团伙中也相当常见。

另外值得注意的是，Makop 勒索软件在加密失陷主机前排除了某些特定的文件扩展名，包括其他勒索软件使用的文件扩展名。

初始访问

为了入侵企业网络，BianLian 通常会使用如下方式进行攻击：

• 窃取 RDP 凭据

• 使用 ProxyShell 漏洞

• 攻击 V/P-N 服务提供商

• 部署 WebShell

在过去的一年中，BianLian 的攻击 TTP 没有太大变化，仍然会使用各种公开工具进行横向平移、凭据转储与执行后门等操作。

凭据转储

分析人员在遥测数据中，发现安全账户管理器（SAM）注册表配置单元被转存到 %windir%Temp 文件中，这也是攻击者常用的技术。SAM 存储着失陷主机上使用的账户的哈希密码，并且可以通过 SYSTEM 权限恢复。

持久化

分析遥测数据时，也看到攻击者在以下路径释放了 BianLian 后门 DLL 组件：

	


C:\ProgramData\VMware\[filename].dll




为了执行后门，攻击者使用 impacket 工具创建了如下计划任务：


	

	

	


cmd.exe /C rundll32.exec:\programdata\vmware\[filename].dll,Entry >C:\Windows\Temp\[filename].tmp 2>&1.

（向右滑动，查看更多）
该任务旨在使用 rundll32 定期执行后门 DLL 以及名为 Entry 的导出函数。后门本身在每个事件中都有不同的名称和路径，难以实现基于名称的行为检测逻辑。




侦察
















为了更好地探测网络中的开放端口，便于攻击者利用这些服务进行横向移动。攻击者在以下路径部署了 Famatech 的 Advanced Port Scanner 工具：


	


C:\Users\%User%\AppData\Local\Temp\31\Advanced_Port_Scanner_2.5.3869.exe

（向右滑动，查看更多）
这与 Makop 勒索软件此前使用的高级端口扫描程序是相同的文件。





加密与后门
















BianLian 使用的勒索信息如下所示：


勒索信息
2023 年初，Avast 发布了 BianLian 勒索软件的解密工具，该团伙暂时偃旗息鼓。随后，攻击者将攻击转变为窃密与勒索，并且开发了定制化后门。
BianLian 的后门也是使用 Go 语言编写的，更像一个 Loader 而非传统意义上的后门。攻击者通过该程序下载并执行各种恶意 Payload，文件中包含硬编码的 C&C 地址与端口。


检测告警





结论
















BianLian 自从 2022 年浮出水面，一直都是网络中最活跃的勒索团伙之一。2023 年 1 月到 12 月中旬 BianLian 可以跻身前十，披露的受害者越来越多。
BianLian 保持了稳定的 TTP 策略，这对勒索市场的需求有更好的适应性。攻击者从双重勒索转变为敲诈勒索，迫使受害者在不加密文件的情况下支付赎金。分析人员还根据使用相同定制化开发的工具，发现了 BianLian 与 Makop 可能存在关联。





IOC

















208.123.119[.]123
13.215.228[.]73
54.193.91[.]232
172.96.137[.]159
204.152.203[.]90
144.208.127[.]119
192.161.48[.]43
146.70.87[.]197
45.86.230[.]64
45.56.165[.]17
23.163.0[.]168
172.96.137[.]249
173.254.204[.]78
185.56.137[.]117
52.87.206[.]242
45.66.249[.]118
96.44.157[.]203
103.20.235[.]122
44.212.9[.]14
149.154.158[.]154
146.59.102[.]74
96.44.135[.]76
85.239.52[.]96
66.85.156[.]83
198.252.98[.]186
3.236.161[.]7
13.59.168[.]154
172.245.128[.]35
216.146.25[.]60
172.86.122[.]183
185.99.133[.]112
149.154.158[.]214
104.200.72[.]6
23.163.0[.]228
40126ae71b857dd22db39611c25d3d5dd0e60316b72830e930fba9baf23973ce d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb c775e6d87a3bcc5e94cd055fee859bdb6350af033114fe8588d2d4d4f6d2a3ae c57ca631b069745027d0b4f4d717821ca9bd095e28de2eafe4723eeaf4b062cf c592194cea0acf3d3e181d2ba3108f0f86d74bcd8e49457981423f5f902d054b df51b7b031ecc7c7fa899e17cce98b005576a20a199be670569d5e408d21048c 2ed448721f4e92c7970972f029290ee6269689c840a922982ac2f39c9a6a838f 264af7e7aa17422eb4299df640c1aa199b4778509697b6b296efa5ae7e957b40 73d095abf2f31358c8b1fb0d5a0dc9807e88d44282c896b5033c1b270d44111f 8b65c9437445e9bcb8164d8557ecb9e3585c8bebf37099a3ec1437884efbdd24 4ca84be5b6ab91694a0f81350cefe8379efcad692872a383671ce4209295edc7 93fb7f0c2cf10fb5885e03c737ee8508816c1102e9e3d358160b78e91fa1ebdb afb7f11da27439a2e223e6b651f96eb16a7e35b34918e501886d25439015bf78 53095e2ad802072e97dbb8a7ccea03a36d1536fce921c80a7a2f160c83366999 16cbfd155fb44c6fd0f9375376f62a90ac09f8b7689c1afb5b9b4d3e76e28bdf 60b1394f3afee27701e2008f46d766ef466caa7711c45ddfd443a71efc39a407 ba3c4bc99b67038b42b75a206d7ef04f6d8abaf87a76c373d4dec85e73859ce2 e7e097723d00f58eab785baf30365c1495e99aa6ead6fe1b86109558838d294e 96e02ea8b1c508f1ee3c1535547f9b89396f557011e61478644ae5876cdaaca5 ac1d42360c45e0e908d07e784ceb15faf8987e4ba1744d56313de6524d2687f7 1cba58f73221b5bb7930bfeab0106ae5415e70f49a595727022dcf6fda1126e9 487f0d748a13570a46b20b6687eb7b7fc70a1a55e676fb5ff2599096a1ca888c f84edc07b23423f2c2cad47c0600133cab3cf2bd6072ad45649d6faf3b70ec30 93953eef3fe8405d563560dc332135bfe5874ddeb373d714862f72ee62bef518 f3f3c692f728b9c8fd2e1c090b60223ac6c6e88bf186c98ed9842408b78b9f3c f6669de3baa1bca649afa55a14e30279026e59a033522877b70b74bfc000e276 228ef7e0a080de70652e3e0d1eab44f92f6280494c6ba98455111053701d3759 0e4246409cdad59e57c159c7cc4d75319edf7d197bc010174c76fe1257c3a68e 90f50d723bf38a267f5196e22ba22584a1c84d719b501237f43d10117d972843 4c008ac5c07d1573a98eb87bffe64e9c9e946de63b40df3f686881cf0698eef7 d3574cc69a5974a32a041d1dc460861fe1cef3c1f063171c5fc890ca0e8403c4 99fc3e13f3b4d8debf1f2328f56f3810480ee2eed9271ebf413c0015c0a54c23 4f4a2adc7ecc41f12defe864c78ad6bbf708355affac4115dcd5065b38198109 188e95d6ed0810c216ab0043ecc2f54f514e624ca31ed1eec58cfc18cc9ac75e 16b0f643670d1f94663179815bfac493f5f30a61d15c18c8b305b1016eece7ef c5fa6a7a3b48a2a4bbcbbbb1ca50c730f3545e3fbb03fa17fb814ad7a400a21f d3fc56b98af9748f7b6dd44e389d343781ff47db9ed3d92ae8fadc837f25f6ed 23295c518f194dee7815728de15bafe07bf53b52d987c7ad2b2050f833f770f7 06f10c935fae531e070c55bde15ee3b48b6bb289af237e96eec82124c19d1049 7ba40902dc495d8da28d0c0788bcfb1449818342df89f005af8ce09f2ee01798 3106e313f6df73b84acd8d848b467ac42c469ffabbad19e4fdcc963639cfff8c 56e63edb832fdf08d19ecfe2de1c7c6c6581cedd431215ded0c8e44ac9aed925 195c11ee41f5a80d8e1b1881245545d6529671b926eb67bd3186e3ffecefe362 ac14946fd31ca586368c774f3a3eed1620bf0f0b4f54544f5d25e87facf18d82 29a14cb63a1900fe185fad1c1b2f2efb85a058ac3c185948b758f3ce4107e11e 91ffe0ee445b82bd3360156feeecf8112d27c9333f9796caffcfda986fd7e9b4 5162fd73cbe8f313d2b0e4180bab4cbe47185f73a3ffc3d1dcccc36bc2865142 7dabe5d40c13c7c342b7182eaf7c63fbb5e326300316f6f6518b527d57e79ac8 4e92b73a17e0646876fb9be09c4ee6f015f00273932d2422b69339e22b78b385 9413ba4a33ea77326b837ba538f92348e1909d5263ca67a86aa327daa8fbba30 bd41ac2686beadc1cb008433960317b648caae37c93d8c0d61ad40fe27b5b67e bd57af28c94c3b7f156511c48f4b62cd1b4c29a1a693f4dc831e0a928691cc56 af46356eb70f0fbb0799f8a8d5c0f7513d2f6ade4f16d4869f2690029b511d4f 1fd42d07b4be99e0e503c0ed5af2274312be1b03e01b54a6d89c0eef04257d6e 3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f 46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b 1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43 eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2





https://unit42.paloaltonetworks.com/bianlian-ransomware-group-threat-assessment

原文始发于微信公众号（FreeBuf）：详解日渐活跃的勒索软件组织：BianLian