摘要

一种名为Trigona的新兴勒索软件正在活跃。2022年10月底，安全研究人员首次发现了该勒索软件。依据从在线病毒分析平台VirusTotal获得的Trigona勒索软件的二进制文件、赎金信息，以及Unit 42安全事件响应的结果来看，安全研究人员确认Trigona勒索软件在2022年12月开始活跃，并且成功攻击了至少15名的企业，涉及制造业、金融业、建筑业、农业、市场营销和高科技行业。

Unit 42安全研究人员在2023年1月和2月再次发现了两份新的Trigona勒索通知单。该组织的赎金通知非常独特，不是我们常见的文本，而是在HTML应用程序中显示，其中嵌入了包含唯一计算机ID (CID)和受害者ID(VID)的JavaScript。

概述

Trigona 是一种大型无刺蜜蜂家族的名称，2022年10月底，某安全研究人员首次在推特上提及该勒索软件的名字。与此同时，Unit 42的安全顾问们也开始注意到Trigona勒索软件在安全事件中的表现。

据Unit 42的观察，Trigona背后的勒索组织惯用的攻击方法为：获得对目标环境的初始访问权、进行侦察、通过远程监控和管理(RMM)软件传输恶意软件、创建新用户帐户和部署勒索软件。

Ransomware分析

Ransomware样本

Unit 42捕获了Trigona勒索软件样本并进行分析。Trigona勒索软件加密文件名为svhost.exe，在实际执行过程中使用TDCP_rijndael (Delphi AES库)加密文件，会将加密文件重命名为._locked的文件拓展名。

Trigona勒索软件支持以下命令行参数:

勒索赎金通知

如下图1所示，Trigona在每个扫描的文件夹中创建一个名为 how_to_decrypt.hta的勒索赎金通知，该文件的HTML代码包含嵌入式JavaScript功能，可显示勒索赎金的具体信息。

如下图2所示，在勒索赎金通知的JavaScript部分，Unit 42安全研究人员发现以下信息:

1. 特定生成的CID和VID
2. 用以支付赎金的Tor网站链接
3. 与勒索组织联系的电子邮件地址

从图2可以看到其联系邮箱为phandaledr@onionmail[.]org，此外，研究人员还在其他邮件中发现farusbig@tutanota[。]]com也是Trigona的联系邮箱。

通过查看Trigona赎金笔记中嵌入式JavaScript中的受害者ID，安全研究人员发现，在2022年12月，至少有15家企业被Trigona勒索软件入侵。同时在2023年1月和2月，又发现了另外两份新的勒索赎金通知。

这些被攻击的企业遍布全球，包括在美国、意大利、法国、德国、澳大利亚和新西兰等，涉及及制造业、金融、建筑、农业、营销和高科技等领域。

安全研究人员发现并跟踪了Trigona勒索软件的一个常用服务器地址，一个HTML标题为Trigona Leaks的web服务器，该服务器一直活跃到2023年3月3日，如图3所示：

每个帖子都包含了以下的信息：

1. 被攻击公司的描述
2. 受害企业的缩放信息页
3. 被盗/加密数据的大概描述
4. 链接到示例文件的截图
5. 倒计时器
6. 一个竞标按钮

当买家有意向购买这些数据时，可以“@出价”按钮，其中包含一个auction@mailthink[.]net邮件地址，该地址支持用户临时创建一个一次性的电子邮件。

Trigona与CryLock勒索软件相似

Unit 42安全研究人员发现，Trigona勒索软件背后神秘的组织似乎与CryLock勒索软件有相通之处。不论是在战术、技巧还是TTPs上皆是如此。这意味着，两大勒索软件的背后可能是同一个犯罪团伙，当CryLock勒索软件退出舞台时，他们便又开发了新式的勒索软件——Trigona。

如图5所示，Unit 42安全研究人员发现，Trigona勒索软件的赎金通知邮件地址，曾经在CryLock勒索软件的在线讨论论坛中出现过，一名用户在俄罗斯反恶意软件论坛SafeZone上寻求帮助，希望可以避免被Crylock勒索软件勒索。

另外，这两种勒索软件家族都以HTML应用程序格式发送赎金通知，名为how_to_decrypt.hta。赎金信息中也有相似之处，包括:

1. 他们都声称“所有文档、数据库、备份都加密”
2. 都选择AES作为加密算法
3. 附加信息都是“赎金取决于等待的时间”
4. 不少技术、工具都一致

Trigona勒索软件进一步分析

Unit 42发现了与Trigona相关恶意活动的证据，这些恶意活动来自一台被入侵的Windows 2003服务器，随后攻击者执行NetScan进行内部侦察。

NetScan

Unit 42分析人员恢复了NetScan输出，并注意到它包含Cyrillic字符，如下图6所示。将NetScan的默认语言更改为俄语是一个可以在初始安装时配置的选项。

在进行侦察后，Trigona操作人员使用Splashtop(一种远程访问和管理(RMM)工具)将以下恶意软件转移到目标环境中。

这里需要强调的是，攻击者经常出于恶意目的滥用、利用或破坏合法产品，但是，这并不一定意味着被滥用的合法产品存在缺陷或恶意质量，两者不能直接划上等号。

Start.bat

Start.bat是一个执行以下活动的批处理脚本:

1. 在C:\temp创建新文件夹
2. 将其他恶意批处理文件和EXE文件，从内部服务器复制到新创建的临时文件夹
3. 执行Turnoff.bat

Turnoff.bat

Turnoff.bat是一个清除脚本，用于删除系统上的攻击证据，具体操作如下：

1. 清除任何已挂载驱动器的回收站
2. 使用sc stop和taskkill来停止多个服务，这些服务涉及从远程桌面工具到Windows Defender等各个领域
3. 尝试停止VMware、Hyper-V和SQL相关的服务
4. 结束上述已停止服务的相关运行任务
5. 清除Windows事件日志(使用wevutil cl)
6. 删除文件的副本
7. 断开所有网络驱动器

Unit 42安全研究人员观察到，Turnoff.bat似乎是Trigona勒索软件所特有的清除脚本工具，而常见的勒索软件清除脚本一般会更小。从turnoff.bat停止各种各样的服务和任务来看，该工具的另一个目的是确保更广泛的系统加密。

Newuser.bat

Newuser.bat是一个自动批量处理脚本，运行后它会创建一个名为fredla和密码为Qw123456的新用户，随后就会将fredla用户添加到本地组“管理员”和“远程桌面用户”中。当然，攻击者有时会创建特权用户帐户以保持对目标系统的访问，而不是在系统上安装持久性远程访问工具。

DC2.exe

DC2.exe是一个用于从Windows操作系统提取密码和身份验证凭据等敏感信息的工具，可以用来包括Mimikatz密码。虽然攻击者已经使用UPX对这个版本的Mimikatz进行了压缩，安全研究人员还是发现，攻击者经常使用类似UPX等压缩工具或其他打包程序，来逃避底层有效负载的静态检测。

DC2.exe同时还有密码保护的功能，会增加一个额外的复杂性层时，当可执行文件运行时，攻击者将被提示输入密码才能继续操作。随后还需要计算密码的MD5哈希值，如果它等于4dbf44c6b1be736ee92ef90090452fc2，程序才会继续运行。

在它的许多合法用途中，Unit 42的安全研究人员发现，攻击者通常以以下方式来利用Mimikatz：

1. 证书加载：Mimikatz从各种来源(例如如Windows内存、LSASS进程、Windows注册表)加载凭证。
2. 凭据存储：提取并将凭据(包括用户名&密码、Kerberos票据等)转存到文件中。
3. 凭证操作：Mimikatz允许用户操作转存的凭据，包括更改密码、创建新用户帐户等
4. 凭据注入：将操作的凭据注入到其他进程中，允许用户模拟特权用户并访问受限资源。

DC4.exe

DC4.exe是一个小型的upx打包密码保护二进制文件，它生成并执行一个嵌入式批处理文件。

可对系统进行以下更改:

1. 禁用帐户控制(UAC)并将cmd.exe设置为HelpPane.exe、utiman .exe、Magnify.exe和setc .exe等。这是创建“Sticky Keys后门”的常用方法，允许创建具有NT AUTHORITY\SYSTEM特权的命令提示符。
2. 打开防火墙上的特定端口，允许使用netsh命令进行远程桌面连接。
3. 修改Windows注册表允许远程桌面连接。
4. 创建一个用户名为“sys”，密码为“Mm1518061+-”的新用户，并将该用户添加到“管理员”和“远程桌面用户”组中。

DC6.exe

DC6.exe是公开可用工具Advanced Port Scanner的安装程序，常被打包在Inno Setup安装程序包中，而Inno Setup是Windows程序的免费安装软件。Advanced Port Scanner是一个被攻击者滥用的工具，常用于网络扫描和映射，横向移动和发现目的。在Inno Setup中藏着Advanced Port Scanner为代码增加了额外的混淆层，其目的是为了逃避静态签名检测。

TTPs

结论

Trigona是一种较新的勒索软件，迄今为止，对于该恶意软件的报道依旧很少，安全社区的关注度也不高。事实上，这也和Trigona谨慎的攻击风格有关，他们会对受害者目标精挑细选，避免出现在新闻头条，让其他的勒索组织、恶意软件占据媒体关注度，从而实现闷声发大财的目的。

这也是本文起底Trigona的意义所在，希望让更多的安全人员了解这一恶意软件，而分享Trigona勒索软件常用的攻击手法、工具以及混淆技术等，则是为了帮助安全人员更好地应对新兴攻击，保护企业/组织免受Trigona勒索攻击。

目前，Trigona勒索软件还处于前期的扩张之中，因此在不久的未来，该恶意软件可能会扩大其恶意攻击行动，企业和安全人员需提高警惕。

参考来源：https://unit42.paloaltonetworks.com/trigona-ransomware-update/