一、组织概述
(一)组织背景
Hunters International勒索组织最早于2023年10月进入大众视野,以RaaS(勒索软件即服务)模式运作。自发布以来,该组织的攻击活动已遍布至教育、医疗、金融、制造等各个行业,影响范围覆盖全球各个地区。
从起源上,Hunters International是一款基于老牌勒索软件Hive源码改进的新型勒索软件。该勒索软件以其复杂的加密算法和加密策略而闻名,这也是它能在短时间内成功实施多起勒索攻击的重要原因。
Hunters International声称其源码来自于Hive
Hunters International擅长通过供应链攻击、应用程序漏洞来获取初始访问权限,并部署如Cobalt Strike、SharpRhino等远控工具,最终传播勒索软件,加密和窃取数据。此外,该组织重视保密性,严格管控信息,保证其行动的隐蔽性。近期,Hunters International勒索组织日渐猖獗,使其在网络犯罪领域迅速崭露头角,强势威胁全球网络安全。
Hunters International数据泄露站点
作为典型的双重勒索组织,Hunters International对外宣称其主要目的是数据泄露,以此施压受害者,要求他们支付赎金,上图展示了该组织的数据泄露站点。
(二)攻击活动统计
根据公开数据统计,2024年初至今,Hunters International组织已成功发起163次勒索攻击。从下图可知,该组织近期攻击活动较为频繁。
各月攻击次数(注:统计日期截止2024/09/13)
从受害者国家分布来看,Hunters International组织的主要目标是美国,其中欧洲、亚洲一些国家也遭遇数次攻击,其中,中国占比3%左右。
受害者国家分布
从受害者所在行业分布来看,该组织针对的行业没有明显的倾向性,其中,以制造业和信息技术行业为主,占比分别为30.6%和9.8%。
受害者行业分布
二、样本分析
今年8月,国外研究机构披露,Hunters International勒索组织利用一种新型C#远控木马SharpRhino对IT人员进行网络钓鱼,从而入侵企业内网,最终实施勒索攻击。SharpRhino能够实现从初始感染、提权、执行 PowerShell命令到最终部署勒索软件等一系列恶意行为,本文针对该事件涉及的样本进行详细分析。
(一)SharpRhino远控木马
Hunters International组织投递远控木马SharpRhino的完整流程如下图所示:
SharpRhino远控木马通过捆绑合法工具ipscan进行传播,母体样本ipscan为NSIS安装程序,解压后包含如下文件:
当双击ipscan安装程序,7za.exe程序被触发,调用7za.dll对UpdateFull.7z解压,解压后的文件被释放到C:\ProgramData\Microsoft\WindowsUpdate24、C:\ProgramData\Microsoft\ LogUpdateWindows两个目录下,如下图:
其中,LogUpdate.bat和WindowsUpdate.bat两者功能相似,Kautix2aeX.t和Wiaphoh7um.t相似。Microsoft.AnyKey为快捷方式文件,指向了LogUpdate.bat脚本文件。
LogUpdate.bat为批处理脚本,用来启动PowerShell脚本文件Wiaphoh7um.t。
Wiaphoh7um.t为PowerShell脚本文件,该脚本主要有两个功能:
- 解密出经过高度混淆的SharpRhino木马的C#源代码;
- 将SharpRhino源码编译加载到内存,将C2、加密密钥、延时时间传递给函数HPlu()并执行;
SharpRhino为最终的远控木马,具体信息如下表:
SharpRhino运行之后,首先会生成随机16个字节的ClientID ,并收集系统信息。
然后通过http与服务器进行连接,并发送上线数据包。数据包为json格式,分为三个字段“UUID”,“ID”,“Data”。首次向服务器发送数据时“UUID”的值为null,“ID”为 ClientID,“Data”为收集的系统信息。接着将数据包通过RC4加密、base64编码后发送至C2服务器:
cdn-server-2.wesoc40288.workers.dev。
捕获到的上线包数据流量如下:
发送数据包之后,客户端接收服务器的响应,解析出相应指令并执行:服务器返回指令共有三种情况:
- delay:延迟一定时间后再次向服务器发送http请求
- exit:直接退出程序
- PowerShell:执行任意PowerShell命令
为了更详细的分析控制端与客户端的通信行为,我们手动构造PowerShell命令来模拟两者交互过程。以打开计算器应用为例,构造的控制端向客户端发送指令的流量如下图:
下图展示了数据包被解密后,客户端成功打开了计算器。
(二)Hunters International勒索软件
该勒索软件需要提供“-c 用户名:密码”才能执行,该用户名和密码用于受害者登录泄露网站查看信息,最后保存在勒索信中提供给受害者。
勒索软件在执行过程中会在控制台中输出文件加密操作的过程信息,执行完成后会在每个加密的文件夹中留下一封勒索信文件并自动用记事本打开,加密后的文件通常被加上“.locked”后缀。对比早期的版本(2024.03),近期的版本(2024.07)在加密过程信息输出和勒索信内容方面进行了更新。
新版本在控制台输出中增加了进度条、I/O速率、当前执行的任务等信息。
勒索信方面,文件名和内容都进行了更新,早期版本文件名为“Contact us.txt”,近期更新为“READ ME NOW!.txt”。
该勒索软件执行后首先检查解析命令行参数,如果没有提供参数,当前执行立即终止。现整理部分参数如下:
| 参数项 | 描述 |
| -c | 指定用户名密码,格式为“user:password”,必选参数 |
| -t/-threads/–threads | 加密线程数量,默认为10 |
| -R/-no-remote/–no-remote | 不加密远程共享文件 |
| -k/-kill/–kill | 要杀死的进程 |
| -s/-skip/–skip | 跳过不加密的文件 |
| -E/-no-erase/–no-erase | 不擦除磁盘空间 |
| -X/-no-extension/–no-extension | 不给加密后文件添加后缀 |
| -w/-wait/–wait | 等待一段时间后加密 |
该勒索软件中使用的字符串都被单独移位+异或加密保存,使用时移位+异或解密后拼接恢复。
解析完命令行参数后,程序会创建一个线程池来进行后续的多线程的文件加密操作,在加密文件前,该程序会执行以下命令来删除卷影以阻止备份和恢复
- exe delete shadows /all /quiet
- exe shadowcopy delete
- exe delete systemstatebackup
- exe delete catalog-quiet
- exe /set {default} recoveryenabled No
- exe /set {default} bootstatuspolicy ignoreallfailures
- exe delete systemstatebackup -keepVersion:3
停止包含以下列表中名称的服务和进程,防止文件被占用无法加密。
agntsvc, backup , dbeng50, dbsnmp, encsvc, excel, firefox, infopath, isqlplussvc, memtas, mepocs, msaccess, msexchange, msmq, mspub, mssql, mydesktopqos, mydesktopservice, mysql, notepad, ocautoupds, ocomm, ocssd, onenote, oracle, outlook, powerpnt, sap, sqbcoreservice, sql, steam, svc$, synctime, tbirdconfig, thebat, thunderbird, veeam, visio, vmm, vmwp, vss, winword, wordpad, xfssvccon
枚举网络中存在的主机:
遍历本地磁盘驱动器类型,以区分本地和网络共享磁盘。
然后开始分别扫描本地文件,和网络共享文件,添加到不同的待加密文件列表中使用不同的线程分开加密。
文件加密过程中,该程序会跳过以下的文件名、文件目录名及文件后缀。
跳过的文件名:
READ ME NOW!.txt, autorun.inf, bootfont.bin, boot.ini, bootsect.bak, desktop.ini, iconcache.db, ntldr, NTUSER.DAT, NTUSER.DAT.LOG, Ntuser.ini, thumbs.db
跳过的文件目录名:
Windows, Program Files, Program Files (x86), Program Data, $Recycle.Bin, All Users, Default, Google, System Volume Information, Boot, Intel, Internet Explorer, PerfLogs
跳过的文件后缀名:
386, adv, ani, bat, bin, cab, cmd, com, cpl, cur, deskthemepack, diagcab, diagcfg, diagpkg, dll, drv, exe, hlp, hta, icl, icns, ico, ics, idx, key, ldf, lnk, lock, mod, mpa, msc, msi, msp, msstyles, msu, nls, nomedia, ocx, pdb, prf, ps1, rom, rtp, scr, shs, spl, sys, theme, themepack, tmp, wpx
该勒索软件使用 AES 算法来加密文件内容,加密密钥由BCryptGenRandom()函数生成的随机数组成,加密逻辑使用 AES 硬件指令集实现。为了保护加密密钥和便于解密,该样本使用 RSA-OAEP来加密AES密钥并保存在被加密文件尾部。
加密过程完成后,该勒索软件会在每个磁盘驱动器上创建一个“buffer.swp”文件,并不断写入 16384字节的随机数据,直到磁盘上没有可用空间,最后再删除该文件,以此来覆盖硬盘数据,防止从硬盘中恢复文件。
三、ATT&CK
下表总结了Hunters International 勒索软件的ATT&CK矩阵攻击链。
四、新华三防护方案
新华三聆风实验室将持续跟踪Hunters International组织最新勒索攻击活动。目前,新华三威胁情报特征库已支持相关IOC检测,病毒特征库支持相关样本检测,新华三AIFW及AI SOC平台均支持该检测,请及时升级更新。
五、IOC
angryip[.]org
angryipsca[.]com
cdn-server-1[.]xiren77418[.]workers[.]dev
cdn-server-2[.]wesoc40288[.]workers[.]dev
ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com
ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com
d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f
9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021 b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722
09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264
c4d39db132b92514085fe269db90511484b7abe4620286f6b0a30aa475f64c3e94b6cf6c30f525614672a94b8b9788b46cbe061f89ccbb994507406404e027af
24de8de24001bc358c58aa946a28c545aaf9657b66bd5383c2d5a341c5d3c355
1fcb1e861fc7219d080430388630b438c2de7f09272cfa32799bb51aa6083c47
转自FreeBuf,原文链接:https://www.freebuf.com/news/412262.html
暂无评论内容