freeBuf
起底勒索软件Trigona:扮猪吃老虎,闷声发大财
2023-04-05 20:57:11
所属地 上海

摘要

一种名为Trigona的新兴勒索软件正在活跃。2022年10月底,安全研究人员首次发现了该勒索软件。依据从在线病毒分析平台VirusTotal获得的Trigona勒索软件的二进制文件、赎金信息,以及Unit 42安全事件响应的结果来看,安全研究人员确认Trigona勒索软件在2022年12月开始活跃,并且成功攻击了至少15名的企业,涉及制造业、金融业、建筑业、农业、市场营销和高科技行业。

Unit 42安全研究人员在2023年1月和2月再次发现了两份新的Trigona勒索通知单。该组织的赎金通知非常独特,不是我们常见的文本,而是在HTML应用程序中显示,其中嵌入了包含唯一计算机ID (CID)和受害者ID(VID)的JavaScript。

概述

Trigona 是一种大型无刺蜜蜂家族的名称,2022年10月底,某安全研究人员首次在推特上提及该勒索软件的名字。与此同时,Unit 42的安全顾问们也开始注意到Trigona勒索软件在安全事件中的表现。

据Unit 42的观察,Trigona背后的勒索组织惯用的攻击方法为:获得对目标环境的初始访问权、进行侦察、通过远程监控和管理(RMM)软件传输恶意软件、创建新用户帐户和部署勒索软件。

Ransomware分析

Ransomware样本

Unit 42捕获了Trigona勒索软件样本并进行分析。Trigona勒索软件加密文件名为svhost.exe,在实际执行过程中使用TDCP_rijndael (Delphi AES库)加密文件,会将加密文件重命名为._locked的文件拓展名。

Trigona勒索软件支持以下命令行参数:

勒索赎金通知

如下图1所示,Trigona在每个扫描的文件夹中创建一个名为 how_to_decrypt.hta的勒索赎金通知,该文件的HTML代码包含嵌入式JavaScript功能,可显示勒索赎金的具体信息。

如下图2所示,在勒索赎金通知的JavaScript部分,Unit 42安全研究人员发现以下信息:

  1. 特定生成的CID和VID
  2. 用以支付赎金的Tor网站链接
  3. 与勒索组织联系的电子邮件地址

从图2可以看到其联系邮箱为phandaledr@onionmail[.]org,此外,研究人员还在其他邮件中发现farusbig@tutanota[。]]com也是Trigona的联系邮箱。

通过查看Trigona赎金笔记中嵌入式JavaScript中的受害者ID,安全研究人员发现,在2022年12月,至少有15家企业被Trigona勒索软件入侵。同时在2023年1月和2月,又发现了另外两份新的勒索赎金通知。

这些被攻击的企业遍布全球,包括在美国、意大利、法国、德国、澳大利亚和新西兰等,涉及及制造业、金融、建筑、农业、营销和高科技等领域。

安全研究人员发现并跟踪了Trigona勒索软件的一个常用服务器地址,一个HTML标题为Trigona Leaks的web服务器,该服务器一直活跃到2023年3月3日,如图3所示:

每个帖子都包含了以下的信息:

  1. 被攻击公司的描述
  2. 受害企业的缩放信息页
  3. 被盗/加密数据的大概描述
  4. 链接到示例文件的截图
  5. 倒计时器
  6. 一个竞标按钮

当买家有意向购买这些数据时,可以“@出价”按钮,其中包含一个auction@mailthink[.]net邮件地址,该地址支持用户临时创建一个一次性的电子邮件。

Trigona与CryLock勒索软件相似

Unit 42安全研究人员发现,Trigona勒索软件背后神秘的组织似乎与CryLock勒索软件有相通之处。不论是在战术、技巧还是TTPs上皆是如此。这意味着,两大勒索软件的背后可能是同一个犯罪团伙,当CryLock勒索软件退出舞台时,他们便又开发了新式的勒索软件——Trigona。

如图5所示,Unit 42安全研究人员发现,Trigona勒索软件的赎金通知邮件地址,曾经在CryLock勒索软件的在线讨论论坛中出现过,一名用户在俄罗斯反恶意软件论坛SafeZone上寻求帮助,希望可以避免被Crylock勒索软件勒索。

另外,这两种勒索软件家族都以HTML应用程序格式发送赎金通知,名为how_to_decrypt.hta。赎金信息中也有相似之处,包括:

  1. 他们都声称“所有文档、数据库、备份都加密”
  2. 都选择AES作为加密算法
  3. 附加信息都是“赎金取决于等待的时间”
  4. 不少技术、工具都一致

Trigona勒索软件进一步分析

Unit 42发现了与Trigona相关恶意活动的证据,这些恶意活动来自一台被入侵的Windows 2003服务器,随后攻击者执行NetScan进行内部侦察。

NetScan

Unit 42分析人员恢复了NetScan输出,并注意到它包含Cyrillic字符,如下图6所示。将NetScan的默认语言更改为俄语是一个可以在初始安装时配置的选项。

在进行侦察后,Trigona操作人员使用Splashtop(一种远程访问和管理(RMM)工具)将以下恶意软件转移到目标环境中。

这里需要强调的是,攻击者经常出于恶意目的滥用、利用或破坏合法产品,但是,这并不一定意味着被滥用的合法产品存在缺陷或恶意质量,两者不能直接划上等号。

Start.bat

Start.bat是一个执行以下活动的批处理脚本:

  1. 在C:\temp创建新文件夹
  2. 将其他恶意批处理文件和EXE文件,从内部服务器复制到新创建的临时文件夹
  3. 执行Turnoff.bat

Turnoff.bat

Turnoff.bat是一个清除脚本,用于删除系统上的攻击证据,具体操作如下:

  1. 清除任何已挂载驱动器的回收站
  2. 使用sc stop和taskkill来停止多个服务,这些服务涉及从远程桌面工具到Windows Defender等各个领域
  3. 尝试停止VMware、Hyper-V和SQL相关的服务
  4. 结束上述已停止服务的相关运行任务
  5. 清除Windows事件日志(使用wevutil cl)
  6. 删除文件的副本
  7. 断开所有网络驱动器

Unit 42安全研究人员观察到,Turnoff.bat似乎是Trigona勒索软件所特有的清除脚本工具,而常见的勒索软件清除脚本一般会更小。从turnoff.bat停止各种各样的服务和任务来看,该工具的另一个目的是确保更广泛的系统加密。

Newuser.bat

Newuser.bat是一个自动批量处理脚本,运行后它会创建一个名为fredla和密码为Qw123456的新用户,随后就会将fredla用户添加到本地组“管理员”和“远程桌面用户”中。当然,攻击者有时会创建特权用户帐户以保持对目标系统的访问,而不是在系统上安装持久性远程访问工具。

DC2.exe

DC2.exe是一个用于从Windows操作系统提取密码和身份验证凭据等敏感信息的工具,可以用来包括Mimikatz密码。虽然攻击者已经使用UPX对这个版本的Mimikatz进行了压缩,安全研究人员还是发现,攻击者经常使用类似UPX等压缩工具或其他打包程序,来逃避底层有效负载的静态检测。

DC2.exe同时还有密码保护的功能,会增加一个额外的复杂性层时,当可执行文件运行时,攻击者将被提示输入密码才能继续操作。随后还需要计算密码的MD5哈希值,如果它等于4dbf44c6b1be736ee92ef90090452fc2,程序才会继续运行。

在它的许多合法用途中,Unit 42的安全研究人员发现,攻击者通常以以下方式来利用Mimikatz:

  1. 证书加载:Mimikatz从各种来源(例如如Windows内存、LSASS进程、Windows注册表)加载凭证。
  2. 凭据存储:提取并将凭据(包括用户名&密码、Kerberos票据等)转存到文件中。
  3. 凭证操作:Mimikatz允许用户操作转存的凭据,包括更改密码、创建新用户帐户等
  4. 凭据注入:将操作的凭据注入到其他进程中,允许用户模拟特权用户并访问受限资源。

DC4.exe

DC4.exe是一个小型的upx打包密码保护二进制文件,它生成并执行一个嵌入式批处理文件。

可对系统进行以下更改:

  1. 禁用帐户控制(UAC)并将cmd.exe设置为HelpPane.exe、utiman .exe、Magnify.exe和setc .exe等。这是创建“Sticky Keys后门”的常用方法,允许创建具有NT AUTHORITY\SYSTEM特权的命令提示符。
  2. 打开防火墙上的特定端口,允许使用netsh命令进行远程桌面连接。
  3. 修改Windows注册表允许远程桌面连接。
  4. 创建一个用户名为“sys”,密码为“Mm1518061+-”的新用户,并将该用户添加到“管理员”和“远程桌面用户”组中。

DC6.exe

DC6.exe是公开可用工具Advanced Port Scanner的安装程序,常被打包在Inno Setup安装程序包中,而Inno Setup是Windows程序的免费安装软件。Advanced Port Scanner是一个被攻击者滥用的工具,常用于网络扫描和映射,横向移动和发现目的。在Inno Setup中藏着Advanced Port Scanner为代码增加了额外的混淆层,其目的是为了逃避静态签名检测。

TTPs

结论

Trigona是一种较新的勒索软件,迄今为止,对于该恶意软件的报道依旧很少,安全社区的关注度也不高。事实上,这也和Trigona谨慎的攻击风格有关,他们会对受害者目标精挑细选,避免出现在新闻头条,让其他的勒索组织、恶意软件占据媒体关注度,从而实现闷声发大财的目的。

这也是本文起底Trigona的意义所在,希望让更多的安全人员了解这一恶意软件,而分享Trigona勒索软件常用的攻击手法、工具以及混淆技术等,则是为了帮助安全人员更好地应对新兴攻击,保护企业/组织免受Trigona勒索攻击。

目前,Trigona勒索软件还处于前期的扩张之中,因此在不久的未来,该恶意软件可能会扩大其恶意攻击行动,企业和安全人员需提高警惕。

参考来源:https://unit42.paloaltonetworks.com/trigona-ransomware-update/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录