一个名为“RedCurl”的攻击者自 2018 年以来一直以秘密的商业间谍活动而闻名,目前正在使用专门针对 Hyper-V 虚拟机的勒索软件加密器。
此前,Group-IB 发现 RedCurl 以全球企业实体为目标,后来其业务范围不断扩大,受害者数量也不断增加。
然而,正如 Bitdefender Labs 研究人员报告的那样,威胁行为者已经开始在受感染的网络上部署勒索软件。
Bitdefender 报告中写道: “我们发现 RedCurl 在大多数情况下都坚持其惯常做法,在较长时间内持续进行数据泄露。”
“然而,有一个案例引人注目。他们打破常规,首次部署了勒索软件。”
随着企业越来越多地使用虚拟机来托管其服务器,勒索软件团伙也顺应潮流,创建了专门针对虚拟化平台的加密器。
虽然大多数勒索软件操作都集中在针对 VMware ESXi 服务器,但 RedCurl 的新“QWCrypt”勒索软件专门针对托管在 Hyper-V 上的虚拟机。
Bitdefender 观察到的攻击始于带有伪装成简历的“.IMG”附件的钓鱼电子邮件。IMG 文件是磁盘映像文件,双击后 Windows 会自动将其安装在新的驱动器号下。
IMG 文件包含一个屏幕保护程序文件,该文件易受使用合法 Adobe 可执行文件的 DLL 侧加载攻击,该可执行文件会下载有效负载并通过计划任务设置持久性。
RedCurl 利用“living-off-the-land”工具在 Windows 系统上保持隐身,使用自定义 wmiexec 变体在网络中横向传播而不触发安全工具,并使用工具“Chisel”进行隧道/RDP 访问。
为了在勒索软件部署之前关闭防御,攻击者使用加密的 7z 档案和多阶段 PowerShell 进程。
与许多 Windows 勒索软件加密器不同,QWCrypt 支持大量命令行参数,这些参数控制加密器如何针对 Hyper-V 虚拟机来定制攻击。
在 Bitdefender 发现的攻击中,RedCurl 利用 --excludeVM 参数来避免加密充当网络网关的虚拟机,以避免中断。
研究人员表示,在加密文件时,QWCrypt(“rbcw.exe”)使用 XChaCha20-Poly1305 加密算法,并将 .locked$ 或 .randombits$ 扩展名附加到加密文件。
加密器还提供使用间歇性加密(跳过块)或根据大小选择性文件加密的选项,以提高速度。
QWCrypt 创建的赎金记录名为“!!!how_to_unlock_randombits_files.txt$”,其中包含 LockBit、HardBit 和 Mimic 赎金记录的混合文本。
由于没有专门的泄密网站进行双重勒索,这引发了人们的疑问:RedCurl 是否将勒索软件用作虚假标志或进行真正的勒索攻击。
Bitdefender 概述了 RedCurl 现在在其运营中包含勒索软件的两个主要假设。
首先,RedCurl 是一个雇佣兵组织,为第三方提供服务,因此它既进行间谍活动,又进行以经济为目的的攻击。
在某些情况下,勒索软件可能是为了掩盖数据盗窃而采取的手段,或者是在客户未能支付其主要服务(数据收集)费用时通过访问获取利润的后备手段。
第二种理论是,RedCurl 确实参与了勒索软件操作以牟取暴利,但他们选择默默地进行,宁愿私下谈判,也不愿公开索要赎金和泄露数据。
Bitdefender 总结道:“RedCurl 集团最近部署的勒索软件标志着其策略的重大演变。”
“这种背离其既定作案方式的行为引发了人们对其动机和行动目标的质疑。
原文始发于微信公众号(犀牛安全):RedCurl 网络间谍创建勒索软件来加密 Hyper-V 服务器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3932762.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论