freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Hunters International勒索组织持续猖獗,数据泄露风险升级
2024-10-08 16:13:35
所属地 内蒙古

一、组织概述

组织背景

Hunters International勒索组织最早于2023年10月进入大众视野,以RaaS(勒索软件即服务)模式运作。自发布以来,该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业,影响范围覆盖全球各个地区。

从起源上,Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名,这也是它能在短时间内成功实施多起勒索攻击的重要原因。

1728358476_6704a84c9cc93f9a7345b.png!small?1728358477325

Hunters International声称其源码来自于Hive

Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限,并部署如Cobalt Strike、SharpRhino等远控工具,最终传播勒索软件,加密和窃取数据。此外,该组织重视保密性,严格管控信息,保证其行动的隐蔽性。近期,Hunters International勒索组织日渐猖獗,使其在网络犯罪领域迅速崭露头角,强势威胁全球网络安全。

1728358529_6704a88129cb70806f889.png!small?1728358529902

Hunters International数据泄露站点

作为典型的双重勒索组织,Hunters International对外宣称其主要目的是数据泄露,以此施压受害者,要求他们支付赎金,上图展示了该组织的数据泄露站点。

攻击活动统计

根据公开数据统计,2024年初至今,Hunters International组织已成功发起163次勒索攻击。从下图可知,该组织近期攻击活动较为频繁。

1728358775_6704a977d3a535dcc7066.png!small?1728358776178

各月攻击次数(注:统计日期截止2024/09/13)

从受害者国家分布来看,Hunters International组织的主要目标是美国,其中欧洲、亚洲一些国家也遭遇数次攻击,其中,中国占比3%左右。

1728358814_6704a99e05f707738a2d0.png!small

受害者国家分布

从受害者所在行业分布来看,该组织针对的行业没有明显的倾向性,其中,以制造业和信息技术行业为主,占比分别为30.6%和9.8%。

1728365669_6704c4655aff1be101d7f.png!small?1728365669782

受害者行业分布

二、样本分析

今年8月,国外研究机构披露,Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼,从而入侵企业内网,最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为,本文针对该事件涉及的样本进行详细分析。

SharpRhino远控木马

Hunters International组织投递远控木马SharpRhino的完整流程如下图所示:

1728365862_6704c526dcb49dcdea064.png!small?1728365863307

SharpRhino远控木马通过捆绑合法工具ipscan进行传播,母体样本ipscan为NSIS安装程序,解压后包含如下文件:

1728365962_6704c58a78572e45b8056.png!small?1728365962977

当双击ipscan安装程序,7za.exe程序被触发,调用7za.dll对UpdateFull.7z解压,解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下,如下图:

1728365988_6704c5a49a572c1071370.png!small?1728365989374

其中,LogUpdate.bat和WindowsUpdate.bat两者功能相似,Kautix2aeX.t和Wiaphoh7um.t相似。

Microsoft.AnyKey为快捷方式文件,指向了LogUpdate.bat脚本文件。

1728366014_6704c5be4f6cfff9bd8bc.png!small?1728366014785












LogUpdate.bat为批处理脚本,用来启动PowerShell脚本文件Wiaphoh7um.t。

1728366030_6704c5ceafa7bbbf1458d.png!small?1728366031217

Wiaphoh7um.t为PowerShell脚本文件,该脚本主要有两个功能:

  1. 解密出经过高度混淆的SharpRhino木马的C#源代码;
  2. 将SharpRhino源码编译加载到内存,将C2、加密密钥、延时时间传递给函数HPlu()并执行;

1728366062_6704c5ee8051477f57a2b.png!small?1728366063079






SharpRhino为最终的远控木马,具体信息如下表:






SharpRhino运行之后,首先会生成随机16个字节的ClientID ,并收集系统信息。

1728366384_6704c7301082e4222c877.png!small?1728366384630

然后通过http与服务器进行连接,并发送上线数据包。数据包为json格式,分为三个字段“UUID”,“ID”,“Data”。首次向服务器发送数据时“UUID”的值为null,“ID”为 ClientID,“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器:

cdn-server-2.wesoc40288.workers.dev。

1728366404_6704c744a3d3ee5aea52e.png!small?1728366405405

捕获到的上线包数据流量如下:

1728366422_6704c756ad022233a0c9f.png!small?1728366423120

发送数据包之后,客户端接收服务器的响应,解析出相应指令并执行:服务器返回指令共有三种情况:

  • delay:延迟一定时间后再次向服务器发送http请求
  • exit:直接退出程序
  • PowerShell:执行任意PowerShell命令

1728366460_6704c77c95d1305946e5e.png!small?1728366461568

为了更详细的分析控制端与客户端的通信行为,我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例,构造的控制端向客户端发送指令的流量如下图:

1728366482_6704c79238c58211a4c73.png!small?1728366482724




下图展示了数据包被解密后,客户端成功打开了计算器。

1728366518_6704c7b62ca09bad2d32d.png!small?1728366518742













Hunters International勒索软件







该勒索软件需要提供“-c 用户名:密码”才能执行,该用户名和密码用于受害者登录泄露网站查看信息,最后保存在勒索信中提供给受害者。

勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息,执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开,加密后的文件通常被加上“.locked”后缀。对比早期的版本(2024.03),近期的版本(2024.07)在加密过程信息输出和勒索信内容方面进行了更新。

新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。

1728366978_6704c9820a2feb20127d0.png!small?1728366978518

1728367014_6704c9a6dd2420fcc24c8.png!small?1728367015514

勒索信方面,文件名和内容都进行了更新,早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。

1728367014_6704c9a6cceed7a28db76.png!small?1728367015515

1728367021_6704c9ad8cbb97fb6ac85.png!small?1728367022062

该勒索软件执行后首先检查解析命令行参数,如果没有提供参数,当前执行立即终止。现整理部分参数如下:

参数项

描述

-c

指定用户名密码,格式为“user:password”,必选参数

-t/-threads/--threads

加密线程数量,默认为10

-R/-no-remote/--no-remote

不加密远程共享文件

-k/-kill/--kill

要杀死的进程

-s/-skip/--skip

跳过不加密的文件

-E/-no-erase/--no-erase

不擦除磁盘空间

-X/-no-extension/--no-extension

不给加密后文件添加后缀

-w/-wait/--wait

等待一段时间后加密

该勒索软件中使用的字符串都被单独移位+异或加密保存,使用时移位+异或解密后拼接恢复。

1728368123_6704cdfb45af603ceef07.png!small?1728368124071

解析完命令行参数后,程序会创建一个线程池来进行后续的多线程的文件加密操作,在加密文件前,该程序会执行以下命令来删除卷影以阻止备份和恢复

  • exe delete shadows /all /quiet
  • exe shadowcopy delete
  • exe delete systemstatebackup
  • exe delete catalog-quiet
  • exe /set {default} recoveryenabled No
  • exe /set {default} bootstatuspolicy ignoreallfailures
  • exe delete systemstatebackup -keepVersion:3


停止包含以下列表中名称的服务和进程,防止文件被占用无法加密。

agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon


枚举网络中存在的主机:

1728368142_6704ce0e07f7d2f88a9ad.png!small?1728368142451








遍历本地磁盘驱动器类型,以区分本地和网络共享磁盘。

1728368179_6704ce33c86112041f5c6.png!small?1728368180246








然后开始分别扫描本地文件,和网络共享文件,添加到不同的待加密文件列表中使用不同的线程分开加密。

1728368222_6704ce5e92851a44c87ba.png!small?1728368223203











文件加密过程中,该程序会跳过以下的文件名、文件目录名及文件后缀。

跳过的文件名:

READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db

跳过的文件目录名:

Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs

跳过的文件后缀名:

386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx

该勒索软件使用 AES 算法来加密文件内容,加密密钥由BCryptGenRandom()函数生成的随机数组成,加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密,该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。

1728368308_6704ceb4318e1a128be30.png!small?1728368308579

1728368313_6704ceb99a39bc714afce.png!small?1728368313994

加密过程完成后,该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件,并不断写入 16384字节的随机数据,直到磁盘上没有可用空间,最后再删除该文件,以此来覆盖硬盘数据,防止从硬盘中恢复文件。

1728368332_6704ceccf2fd75d2fcd3f.png!small?1728368333453

三、ATT&CK

下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。

1728368368_6704cef02ed0006f26b20.png!small?1728368368843














四、新华三防护方案

新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前,新华三威胁情报特征库已支持相关IOC检测,病毒特征库支持相关样本检测,新华三AIFWAI SOC平台均支持该检测,请及时升级更新。

1728368414_6704cf1e30bf354faef15.png!small?1728368414670

五、IOC

angryip[.]org

angryipsca[.]com

cdn-server-1[.]xiren77418[.]workers[.]dev

cdn-server-2[.]wesoc40288[.]workers[.]dev

ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com

ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com

d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f

9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722

09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264

c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af

24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355

1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47

# 数据泄露 # 数据安全 # 企业安全 # 勒索组织
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录