14. julija 2024 so raziskovalci na VirusTotal s pomočjo pravil za lovljenje VBA makrov identificirali zlonamerni dokument, zamaskiran kot PayPal potrdilo.
Ob analizi so našli vdelane zlonamerne makre, ki so prenesli PowerShell nalagalnik z imenom ‘8eef4df388f2217caec3dc26.ps1’, ki je z uporabo reflektivnega nalaganja razširil ransomware.
Povezava z ransomware skupinami kot NETWALKER nakazuje na sofisticiran napad, ki uporablja pogoste taktike za dostavo ransomware-a.
Začetna analiza okužbe je določila, da je bil napad izveden s phishingom prek zlonamernega Word dokumenta, kar kaže na izjemno napreden zlonamerni igralec.
Skriti VBA makri v dokumentu so bili dešifrirani, kar je razkrilo PowerShell ukaz, namenjen prenašanju jezikovno kodiranega naložbenega bremena iz oddaljenega strežnika, kar je multi-fazni napad, kjer začetni dokument služi kot sredstvo dostave za nadaljnje zlonamerne aktivnosti.
Analizirana JPEG datoteka je razkrila močno zakrit PowerShell nalagalnik s tremi sloji neuporabne kode. Z ročnim odstranjevanjem teh slojev so odkrili osnovni skript, ki je vseboval vdelane .NET asemblije, kodirane kot bajtne matrike.
Ti asembliji so bili dinamično naloženi v pomnilnik z uporabo tehnik reflektivnega nalaganja, medtem ko je končna faza te verige napada izvrševanje zlonamernih .NET asemblijev, ki nosijo ransomware breme.
Analiza ekstrahiranih .NET asemblijev je pokazala, da je bil prvi DLL, TEStxx.dll, zaščiten z uporabo .NET Reactorja. Po dekompresiji je bilo ugotovljeno, da je odgovoren za injiciranje drugega izvršljivega programa, RegSvcs.exe, v pomnilnik ciljno usmerjenega procesa.
Podrobna preiskava RegSvcs.exe je odkrila njegovo naravo ransomware-a, kar je razvidno iz funkcij, povezanih s spreminjanjem ozadja, popisom datotek in šifriranjem ter prekinitvijo procesov.
Pojav metod, kot so TRIPLE_ENCRYPT, FULL_ENCRYPT in RECURSIVE_DIRECTORY_LOOK, poudarja sofisticirane zmožnosti šifriranja datotek ransomware-a.
Ransomware se samoreplicira v mapo AppData\Local uporabnika, se izbriše po uspešni kopiji in nato iterativno pregleduje lokalne pogone, razen specifičnih sistemskih imenikov, in identificira ciljne tipe datotek za šifriranje.
Za omogočanje obsežnega popisa datotek je ustvarjena naloga za rekurzivno iskanje imenikov. Ciljne pripone datotek zajemajo širok spekter dokumentov, slik, avdia, videa, arhivov, podatkovnih baz in kodnih formatov, kar nakazuje na širok obseg šifriranja.
Ransomware uporablja AES šifriranje, z uporabo FULL_ENCRYPT za datoteke pod 512 KB in TRIPLE_ENCRYPT za večje datoteke, z izjemo določenih datotek. Po prekinitvi ključnih procesov šifrira specifične datoteke na vseh pogonih.
Za zagotovitev
