ClickCease Trellix 揭露網路犯罪團夥「閱讀手冊」儲物櫃

加入我們的熱門時事通訊

加入 4,500+ Linux 和開源專業人士!

每月2次。沒有垃圾郵件。

Trellix 報導新興網路犯罪團夥「閱讀手冊」儲物櫃

奧班拉·奧佩耶米

實施期間: 2023年4月27 日 - TuxCare專家團隊

網路安全公司Trellix提供了有關一個名為「閱讀手冊」儲物櫃的新網路犯罪團夥的作案手法的詳細資訊。該組織向附屬公司網路提供勒索軟體即服務 (RaaS),這些附屬公司必須遵守該團夥實施的嚴格規則。報告中解釋了他們的戰術、技術和程式。

該團夥旨在避免關注,不成為頭條新聞,而是專注於賺錢,同時保持匿名。他們用英語和俄語發佈通知,後者的品質更高。東歐和亞洲獨立國家聯合體(獨聯體)區域是它們避免在該地區造成受害者的禁區。

該報告顯示,該組織的小組提供了對他們的規則,目標和作案手法的見解。根據現有資訊,研究人員可以對某些成員的地理位置做出一些估計的猜測。

該團夥的面板通過使用者名和密碼組合以及驗證碼訪問,以防止其他參與者和研究人員進行暴力登錄嘗試。附屬公司可以添加贖金受害者,使該組織的方法與勒索軟體團夥的當前標準行為保持一致。

贖金票據通知受害者他們的網路已被 RTM Locker 勒索軟體感染,他們的檔(包括個人文檔、照片、客戶和員工數據以及資料庫)已被加密且無法訪問。該說明警告說,如果受害者在 48 小時內未聯繫支援團隊,他們的數據將被發佈在公共領域,洩露的數據將被發送給他們的競爭對手和監管機構。該說明建議受害者不要嘗試自己恢復檔或修改加密文件,因為這樣做可能會導致永久性數據丟失。

勒索軟體不使用漏洞來獲取管理員功能;相反,它只是以必要的許可權啟動自身,從而生成“用戶帳戶控制”對話框。如果受害者同意執行,則會建立一個具有必要管理員許可權的新流程實例,並終止現有的locker實例。如果受害者拒絕提示,儲物櫃將繼續要求它,直到授予許可權。

為了更有效地削弱目標系統,RTM Locker 會加密盡可能多的數據,並檢查它是否對內置系統域具有管理員許可權,以確保獲得適當的許可權,從而授予對設備的不受控制的訪問許可權。

RTM 儲物櫃缺少符號,但在整個分析過程中都會提供分析中重命名的函數和變數。儲物櫃的主要功能檢查命令行輸入並將控制台輸出設置為“-debug”,允許儲物櫃列印調試資訊。下一個螢幕截圖描述了命令行參數檢查和對設置控制台輸出的函數的調用。

儲物櫃的下一步是通過終止可以阻止檔或用於惡意檔分析的程序來保證它具有最大的影響。其中包括sql.exe,oracle.exe,ocssd.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe,dbsnmp.exe,synctime.exe,agntsvc.exe,isqlplussvc.exe,xfssvccon.exe,mydesktopservice.exe,ocautoupds.exe,encsvc.exe,Firefox.exe,tbirdconfig.exe,mydesktopqos.exe,ocomm.exe,dbeng50.exe,sqbcoreservice.exe,excel.exe,infopath.exe,msaccess.exe,mspub.exe,onenote.exe,outlook .exe,powerpnt.exe,steam.exe,thebat.exe,thunderbird.exe,visio.exe,winword.exe,寫字板.exe和記事本.exe。

然後,它會停止嵌入清單中存在的所有服務。目標服務負責防病毒保護和備份,它們包括vss,sql,svc$,memtas,mepocs,sophos,veeam,backup,GxVss,GxBlr,GxFWD,GxCVD,GxCIMgr,DefWatch,ccEvtMgr,ccSetMgr,SavRoam,RTVscan,QBFCService,QBIDPService,Intuit.QuickBooks.FCS,QBCFMonitorService,YooBackup,YooIT,zhudongfangyu,stc_raw_agent,VSNAPVSS,VeeamTransportSvc,VeeamDeploymentService,VeeamNFSSvc,PDVFSService,BackupExecVSSProvider,BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, ArcSch2Svc, AcronisAgent, CASAD2DWebSvc, and CAARCUpdateSvc.

勒索軟體目前未混淆,因此更容易識別和緩解。但是,它終止選定進程和服務的能力可能會對目標系統造成重大損害。

這篇文章的來源包括 《安全事務》上的一篇文章。

總結
Trellix 揭露網路犯罪團夥「閱讀手冊」儲物櫃
文章名稱
Trellix 揭露網路犯罪團夥「閱讀手冊」儲物櫃
描述
Trellix提供了有關一個名為「閱讀手冊」儲物櫃的新網路犯罪團夥的作案手法的詳細資訊。
作者
發行者名稱
燕尾服護理
發行者徽標

希望在不重新啟動內核、系統停機或計劃維護窗口的情況下自動修補漏洞?

瞭解TuxCare的即時修補

成為TuxCare客座作家

開始使用

郵件

加入

4,500

Linux和開源
專業人士!

訂閱
我們的時事通訊