【威脅情報】
受影響平台: Microsoft Windows
受影響群體: Microsoft Windows
影響範圍:加密並外洩受害者的文件,並要求贖金以進行文件解密
嚴重等級:高風險
Phobos勒索軟體家族是一組惡名昭彰的惡意軟體,專門用於加密受害者電腦上的文件。它於2019年首次出現,此後參與了許多的網路攻擊。這款勒索軟體通常會將加密的文件附加一個獨特的副檔名,然後要求以加密貨幣支付贖金以獲得解密金鑰。FortiGuard Labs已經擷取並報告了Phobos家族的多個勒索軟體變種,包括 EKING 和 8Base。
文件分析
駭客所使用的 XLAM 文件包含一個嵌入的 VBA 腳本,如圖 2 所示。在打開文件時,該腳本使用 “Workbook_Open()” 函式觸發 PowerShell 進行下一階段的操作。接著,它從 Gitea 下載 Base64 編碼的檔案,解碼成一個乾淨的 XLSX 文件。將這個文件保存在 TEMP 文件夾中並自動打開,誤導受害者文件開啟流程已完成,而沒有任何惡意行為。
圖 3 為從變數 “SkSLjvNc”解碼後擷取的PowerShell 腳本。它首先從 hxxps://gitea[.]com/JoinPokingo/JingaPol/raw/branch/main/cfmifs_CRPT[.]txt 下載文件,經由尋找字串”DICK{(.*)}DICK”來提取文件 “cfmifs_CRPT[.]txt” 中的目標惡意資料,並將結果做 Base64 解碼,如圖 4 所示。接著,在 “$env:APPDATA..\Local” 中隨機選擇一個資料夾,並將兩個隨機生成的字母添加到此資料夾名,生成一個新資料夾名稱,最後將執行文件 “AVG update.exe”保存在這個新資料夾中,如圖 5 所示。
執行檔分析
執行檔 “AVG update.exe” 主要功能為下載後續攻擊所需的文件。它還包含大量多餘的程式碼以逃避檢測並使分析變得複雜。通過採用處理序注入技術,它分配具備讀取-寫入-執行(RWE)的記憶體並將惡意代碼注入到新生成的處理序中。此外,該文件將其所有字串進行編碼並在使用之前才與特定的十六進制密鑰進行XOR運算。圖 6為準備使用十六進制密鑰從字串 “blogaudit” 中獲取 DLL 名稱的程式碼。
“blogauditblo” ^ 0x29293d292439575B5A262023 = “KERNEL32.DLL”
此執行檔包含以下功能:
- 解碼其 “.rdata” 部分以獲取一個 MSIL 執行檔,並將隨機生成的字串作為其Class名稱,完成後命名為“SmartScreen Defender Windows.exe” 並保存在 TEMP文件夾中。
- 使用指令 “cmd /C curl –s”從網址“hxxps://gitea[.]com/JoinPokingo/JingaPol/raw/branch/main/AppVStreamingUX_FST[.]txt” 下載一個文件。
- 在 Base64 解碼的 “AppVStreamingUX_FST.txt” 中搜尋字串 “DICK{(.*)}DICK” 並提取資料,經過 Base64 解碼後獲取
- 利用幾個重要的 API,如 ZwAllocateVirtualMemory、NtWriteVirtualMemory、NtProtectVirtualMemory 和 RtlCreateUserThread,將shellcode注入到 “SmartScreen Defender Windows.exe” 中。
- 攻擊者在目標處理序的記憶體中分配一個區段並插入惡意程式碼,並呼叫此惡意程式執行的入口點。
FAUST 勒索軟體
FAUST 勒索軟體是 Phobos 家族的一個變種,這款勒索軟體會在每個被加密的文件後附加 “.faust” 副檔名,並在包含被加密文件的資料夾中生成 info.txt 和 info.hta,提供駭客聯繫方式,指示受害者聯繫進行贖金談判。
FAUST首先會檢查 Mutex物件以確保只有一個處理序在執行,並在註冊表 “KCU\Software\Microsoft\Windows\CurrentVersion\Run”中加入一個項目以及將自身複製到兩個資料夾: “%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup” 和 “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup”。
這些文件夾與 Windows 啟動設定有關。前者是特定於使用者的,於使用者登錄時開始執行程式,而後者是系統範圍的,在系統啟動時影響所有使用者。上述設定對於受害系統能夠持續自動運行 FAUST 勒索軟體至關重要。
為了避免損壞系統、對文件進行雙重加密或加密其聯繫贖金的文件,它包含一個排除名單,遇到符合下列條件的文件則不進行加密:
- 文件副檔名:faust、actin、DIKE、Acton、actor、Acuff、FILE、Acuna、fullz、MMXXII、GrafGrafel、kmrox、s0m1n、qos、cg、ext、rdptest、S0va、6y8dghklp、SHTORM、NURRI、GHOST、FF6OM6、blue、NX、BACKJOHN、OWN、FS23、2QZ3、top、blackrock、CHCRBO、G-STARS、faust、unknown、STEEL、worry、WIN、duck、fopra、unique、acute、adage、make、Adair、MLF、magic、Adame、banhu、banjo、Banks、Banta、Barak、Caleb、Cales、Caley、calix、Calle、Calum、Calvo、deuce、Dever、devil、Devoe、Devon、Devos、dewar、eight、eject、eking、Elbie、elbow、elder、phobos、help、blend、bqux、com、mamba、KARLOS、DDoS、phoenix、PLUT、karma、bbc、capital、wallet、lks、tech、s1g2n3a4l、murk、makop、ebaka、jook、logan、fiasko、gucci、decrypt、ooh、non、grt、lizard、flscrypt、sdk、2023和
- 資料夾:C:\Windows 和C:\ProgramData\microsoft\windows\caches
- 文件名稱:hta、info.txt、boot.ini、bootfont.bin、ntldr、ntdetect.com和io.sys.
和 Phobos 變種的典型行為一樣,FAUST 勒索軟體將許多基本設定進行加密,使用前才進行AES解密。以排除名單資料為例,它使用數字索引 “7” 來表示文件附檔名, “8” 用於文件名, “9” 用於資料夾名稱如圖12所示。
為了提高效率,FAUST藉由開啟多個線程執行各種任務。這些任務包括部署加密、掃描各區磁碟、搜索網路/共享資源、逐一掃描文件,以及尋找與資料庫相關的文件(如fdb、sql、4dd、4dl、abs、abx、accdb、accdc、accde、adb、adf、ckp、db、db-journal、db-shm、db-wal、db2、db3、dbc、dbf、dbs、dbt、dbv、dcb、dp1、eco、edb、epim、fcd、gdb、mdb、mdf、ldf、myd、ndf、nwdb、nyf、sqlitedb、sqlite3和sqlite)。
受害加密的文件帶有“.id[<>-3512].[babylon4367@proton.me].faust”的附檔名。FAUST會在受害者的設備上自動啟動勒索訊息的 HTML 版本“info.hta”。圖 13 顯示了其指示受害者通過電子郵件與駭客聯繫的資訊,並要求受害者使用指定的 ID 作為標題。通過檢查駭客提供的 TOX ID,我們發現原始賣方在 2023 年 11 月開始了銷售,如圖 14 所示。值得注意的是,整個銷售活動仍在進行中,使用者應對相關勒索軟體威脅保持警惕。
結論
本報告深入探討了Phobos勒索軟件家族的FAUST變種,提供了從嵌入VBA腳本的MS Excel文件中下載有效惡意文件的過程的洞察。我們的分析揭示了一惡意組織使用無文件攻擊來部署shellcode,將最終的FAUST惡意程式注入受害者的系統。FAUST變種展示了在環境中保持持續性並創建多個線程以實現高效執行的能力。為了保護設備免受潛在的惡意軟件威脅,用戶必須謹慎行事,避免打開來自不可信來源的文檔文件。
Fortinet 解決方案
FortiGuard防病毒服務及FortiEDR可成功檢測並攔截威脅腳本和惡意軟體活動:
VBA/Dropper.CB!tr
W64/Agent.ACFT!tr
W64/Agent.A9D5!tr
W64/Dloader.584B!tr
W32/FilecoderPhobos.C!tr.ransom
企業組織亦可透過免費的Fortinet Certified Fundamentals (FCF) in Cybersecurity培訓或是報名全中文的線上快速充電學習營,了解當今的威脅環境和基本的網路安全概念和技術。
FortiGuard IP 信譽和Anti-botnet安全防護服務透過匯整來自Fortinet分佈式威脅感應器、CERT、MITRE、合作競爭對手和其他全球合作夥伴的惡意源IP數據,積極阻止這些攻擊,提供最新威脅情報。
FortiRecon 是一種以 SaaS 為基礎的數位風險防範服務,由資安專家支援,提供無與倫比的威脅情報,涵蓋了黑暗網上最新的威脅行為,深入了解威脅行為者的動機和 TTPs。該服務能夠檢測正在進行中的攻擊跡象,讓客戶能夠迅速回應並關閉正在進行的威脅。
如果您認為此事件或其他網路安全威脅影響了您的組織,請聯繫我們的全球FortiGuard資安事故回應團隊。
IOCs
SHA256:
426284b7dedb929129687303f1bf7e4def607f404c93f7736d17241e43f0ab33
50e2cb600471fc38c4245d596f92f5444e7e17cd21dd794ba7d547e0f2d9a9d5
a0a59d83fa8631d0b9de2f477350faa89499e96fd5ec07069e30992aaabe913a
ebe77c060f8155e01703cfc898685f548b6da12379e6aefb996dbcaac201587c
c10dc2f6694414b68c10139195d7db2bb655f3afdcc1ac6885ef41ef1f0078df