【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现

2023-04-20 17,946

恶意文件名称:

MoneyMessage

威胁类型:

勒索软件

简单描述:

MoneyMessage是一款横跨Linux和Windows的双平台勒索软件。该组织在部署勒索软件前,会窃取用户的私人数据,MSI 等多个企业的数据也已遭泄露。


恶意文件分析

事件描述

深信服深盾终端实验室在近期的运营工作中捕获了 MoneyMessage 勒索病毒,通过关联分析发现该样本最早出现于2023年3 月。截至发文,从全球范围来看,已有多个受害者公开披露其遭受了MoneyMessage勒索病毒的攻击,其中不乏大型公司。


援引 Bleeping Computer 2023年4月7日的消息,MSI 已确认其遭受勒索软件攻击:


恶意文件分析


选取SHA256为dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac的样本进行分析,其基本信息如下所示。



勒索软件开始执行后,其会从文件的末尾读取攻击者留存的配置文件,配置文件具体如下所示:



读取配置文件命令行如下图所示:



提取出的参数如下所示:

info_text_message

mutex_name

extensions

skip_directories

network_public_key

network_private_key

processes_to_kill

services_to_stop

logging

domain_login

domain_password

crypt_only_these_directories

temporary_extension


从配置文件读取出的信息将用于后续的加密过程。


1. 创建 Mutex 避免重复运行。



2. 通过以下 API 组合枚举当用户系统中的所有服务及其状态:OpenSCManagerW、EnumServicesStatusExW、CloseServiceHandle。

若服务名称符合以下名称集合中的任意一个元素,则关闭该服务。



3. 通过 API 组合关闭配置文件中提到的进程。



4. 删除 VSS 备份文件。



5. 横向移动。使用存储在配置文件中的账号和密码,尝试连接当前计算机所在网络的其它机器,连接成功则再次进行加密操作。



配置文件中的字符串解密后对应的账户名和密码如下所示,在此处攻击者并未使用密码字典进行 RDP 爆破来传播勒索病毒,而是使用有限数量且特殊的用户名和密码,具有较强的指向性。



此勒索样本和传统的勒索病毒不同的点在于,此勒索样本并不会修改加密文件的后缀。加密后的文件如下图所示:



加密操作完成后,攻击者留存的勒索信如下图所示:



在此勒索样本的分析过程中,并未发现其有明显的外连行为。根据 hackread 于 2023年4月8日的一篇文章,MSI 对外声称遭受到 MoneyMessage 勒索病毒的攻击,MoneyMessage 要求 MSI 支付 4 百万美元,否则将窃取的 MSI 信息公之于众。MSI 于2023年4月7日发表了一篇声明,其修复了位于固件平台上的一个漏洞。MoneyMessage 很可能利用了该固件漏洞获取了MSI内部计算机的控制权,并部署相应的勒索软件。

国外某社交软件平台上一位用户声称,MoneyMessage 团伙使用 RClone 将窃取的信息传输至云存储服务中。



该组织窃取的信息在如下网站公布:



MSI  泄露的信息如下所示:


IOC


Sha256:

dc563953f845fb88c6375b3e9311ebed49ce4bcd613f7044989304c8de384dac

4f8bd37851b772ee91ba54b8fd48304a6520d49ea4a81d751570ea67ef0a9904

97abcf01deea74eb3771ddcef8bfc0906b46a55172588de8e2ad20f8d92b2de7

bbdac308d2b15a4724de7919bf8e9ffa713dea60ae3a482417c44c60012a654b

解决方案

处置建议

预防勒索攻击措施:

Ø 避免打开可疑或来历不明的邮件中的链接和附件。

Ø 进行定期备份,并将这些备份保存在离线状态或单独的网络中。

Ø 安装知名的防病毒和 Internet 安全软件包。

当遭遇勒索攻击后:

Ø 对受感染设备进行断网。

Ø 断开外部存储设备(如果已连接)。

Ø 检查系统日志中是否存在可疑事件。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/199280.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号