針對烏克蘭組織的破壞性惡意軟件

譯者：知道創宇404實驗室翻譯組
原文鏈接：https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

微軟威脅情報中心(MSTIC)已經確認了一個破壞性的惡意軟件攻擊活動，目標是在烏克蘭的多個組織。這個惡意軟件于2022年1月13日首次出現在烏克蘭的受害者系統中。由于烏克蘭及周邊地區正在發生的地緣政治事件，微軟鼓勵各組織利用本帖中的信息積極防范任何惡意活動。

雖然我們的調查仍在繼續，MSTIC 沒有發現這個觀察到的攻擊活動（記錄為為 DEV-0586）和其他已知的活動團體有顯著關系。MSTIC認為，這種惡意軟件看起來像勒索軟件，但缺乏贖金回收機制，它的目的是破壞，它想要的是使目標設備無法使用，而不是獲得贖金。

目前，基于微軟的可見性，我們的調查小組已經確認了幾十個受影響系統中的惡意軟件，而且隨著我們調查的繼續，這個數字還會增加。這些系統包括多個政府、非營利組織和信息技術組織，都設在烏克蘭。我們不知道這個攻擊者的行動步驟目前處于什么階段，也不知道在烏克蘭或其他地區還有多少其他受害組織。然而，這些受影響的系統很可能不像其他組織報告的那樣就是受影響范圍的全部。

鑒于所觀察到的入侵的規模，MSTIC無法評估目前發現的破壞性行動的意圖，但確實認為這些行動對設在烏克蘭境內或系統在烏克蘭的任何政府機構、非營利組織或企業構成了更大的風險。我們強烈鼓勵所有組織立即進行徹底的調查，并利用本帖提供的信息實施防御措施。當我們有更多的信息要分享時，MSTIC 將會更新這個博客。

正如所觀察到的任何國家攻擊者的活動一樣，微軟直接并主動地通知被攻擊或泄密的客戶，為他們提供用于調查需要的信息。MSTIC 還與全球安全圈成員和其他戰略伙伴積極合作，分享能夠通過多種渠道應對這一不斷演變的威脅的信息。微軟使用 DEV-#### 標記作為一個臨時名稱給這一個未知的，新出現的，或正在發展的威脅活動集群，使 MSTIC 能夠把它作為一個獨特的信息集合來跟蹤，直到我們真正搞清楚攻擊活動的來源或者身份。一旦確定，DEV 就會進行修改。

觀察到的攻擊活動

1月13日，微軟確認了來自烏克蘭的入侵活動，似乎可能是主引導記錄(MBR)雨刷活動。在我們的調查過程中，我們發現了一種獨特的惡意軟件能力，它被用于對烏克蘭多個受害組織的入侵攻擊。

第一步: 覆蓋主引導記錄顯示一張偽造的勒索信

這些惡意軟件存在于各種工作目錄中，包括 C:\PerfLogs, C:\ProgramData, C:\ 和C:\temp，并且通常被命名為 stage1.exe。在觀察到的入侵中，惡意軟件通過 Impacket 執行，這是一種公開可用的能力，攻擊者經常使用這種能力進行橫向移動和執行。

這個兩階段的惡意軟件會在受害者系統上用勒索信覆蓋主引導記錄。MBR 是硬盤驅動器的一部分，它告訴計算機如何加載其操作系統。這封勒索信包含了一個比特幣錢包和Tox ID (Tox加密信息協議中使用的唯一賬戶標識符) ，這是以前沒有被 MSTIC 觀察到的:

你的硬盤已經被損壞了。
如果你想要恢復你組織的所有硬盤，你就要通過比特幣錢包 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv 支付我們1萬美元，然后通過tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65 與我們聯系，我們之后會給你下一步的指示。

當相關設備關閉電源時，惡意軟件就會執行。覆蓋 MBR 對于網絡犯罪勒索軟件來說并不常用。實際上，勒索軟件是一個詭計，惡意軟件的目的是破壞 MBR 和它所針對的文件內容。這種行為與 MSTIC 觀察到的網絡勒索軟件犯罪行為不符的原因有以下幾點:

• 勒索軟件的有效載荷通常是針對每個受害者定制的。在這次事件中，在多個受害者身上觀察到相同的勒索載荷。
• 幾乎所有勒索軟件都對文件系統上的文件內容進行加密。在這次事件中，惡意軟件會覆蓋沒有恢復機制的 MBR。
• 在現代違法的贖金票據中，明確的支付數額和加密貨幣錢包地址很少是具體的，但 DEV-0586中是具體的。在所有 DEV-0586入侵中都觀察到了相同的比特幣錢包地址，在分析時，唯一的活動是1月14日的一次小規模轉賬。
• 通信方法很少只有 Tox ID，一個與 Tox 加密消息協議一起使用的標識符。通常情況下，有一些網站擁有支持論壇或多種聯系方式(包括電子郵件) ，讓受害者能夠輕松地成功地聯系上對方。
• 大多數犯罪勒索信包括一個自定義的身份證，受害者被指示將他們的通信發送給攻擊者。這是這個過程的一個重要部分，在這個過程中，自定義 ID 將勒索軟件操作的后端映射到受害者特定的解密密鑰。本例中的贖金通知卻不涵蓋自定義 ID。

微軟將繼續監控 DEV-0586的活動，并為我們的客戶實施保護。目前偵測，先進偵測，和 IOCs 信息詳細如下。

第二階段: 文件腐蝕惡意軟件

Stage2.exe 是一個惡意文件破壞程序的下載程序。在執行時，stage2.exe 下載下一階段惡意軟件,托管在一個不和諧頻道，下載鏈接硬編碼在下載器。下一階段的惡意軟件可以描述為一個惡意文件破壞者。一旦在內存中執行，破壞程序就會使用以下硬編碼文件擴展名之一來定位系統中某個目錄中的文件:

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

如果一個文件帶有上面的一個擴展名，損壞程序會用固定數量的0xCC字節(總文件大小為1 MB)覆蓋文件的內容。覆蓋內容之后，析構函數用一個看似隨機的四字節擴展名重命名每個文件。

建議客戶采取的行動

MSTIC 和微軟安全團隊正在為這項活動創建和實施檢測。迄今為止，微軟已經通過 Microsoft Defender Antivirus 和 Microsoft Defender for Endpoint 實施了 WhisperGate (例如 DoS:Win32/WhisperGate.A!dha)保護來檢測這個惡意軟件，無論這些軟件部署在何處的場所和云環境。我們正在繼續調查，并將與受影響的客戶、公開和私密部門的合作伙伴分享重要的最新信息。攻擊者所使用的技術以及本文所述的技術可以通過采用下面提供的安全考慮因素得到緩解:

• 使用IoC來調查它們是否存在于您的環境中，并評估潛在的入侵。
• 檢查遠程訪問基礎設施的所有身份驗證活動，特別關注那些配置了單因素身份驗證的帳戶，以確認真實性并調查任何異常活動。
• 啟用多因素身份驗證(MFA) ，以減少可能受到破壞的憑據，并確保對所有遠程連接都執行 MFA。
• 在 Microsoft Defender for Endpoint 中啟用受控文件夾訪問(CFA) ，以防止 MBR/VBR 修改。

IOCs

以下列表提供了我們調查期間觀察到的 IOCs。我們鼓勵客戶在其環境中調查這些指標，并實施偵測和保護，與以前的相關活動核對，并防止其系統受到攻擊。

注: 這些指標還有待完善。

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/1815/