Mimic Ransomware IOCs

ransomware IOC

Исследователи компании Trend Micro обнаружили новую программу-вымогатель, которая злоупотребляет API-интерфейсами легитимного инструмента под названием Everything - поисковой системы имен файлов для Windows, разработанной компанией Voidtools, которая предлагает быстрый поиск и обновления в режиме реального времени при минимальном использовании ресурсов. Эта программа-вымогатель (которую мы назвали Mimic на основании строки, найденной в ее двоичных файлах) впервые была замечена в дикой природе в июне 2022 года и нацелена на русскоязычных и англоязычных пользователей. Он обладает множеством возможностей, таких как удаление теневых копий, завершение работы нескольких приложений и служб, а также использование функций Everything32.dll для запроса целевых файлов, подлежащих шифрованию.

Mimic Ransomware

Mimic поставляется в виде исполняемого файла, содержащего несколько двоичных файлов и защищенный паролем архив (замаскированный под Everything64.dll), который при извлечении содержит полезную нагрузку ransomware. Он также включает инструменты, используемые для отключения защитника Windows, и легитимные двоичные файлы sdel.

При выполнении он сначала сбросит свои компоненты в папку %Temp%/7zipSfx. Затем он извлечет защищенный паролем Everything64.dll в ту же директорию с помощью сброшенного файла 7za.exe.

 

Он также сбросит в тот же каталог файл ключа сессии session.tmp, который будет использоваться для продолжения шифрования в случае прерывания процесса.

Затем он скопирует сброшенные файлы в каталог "%LocalAppData%\{Random GUID}\", после чего программа-вымогатель будет переименована в bestplacetolive.exe, а исходные файлы удалены из каталога %Temp%.

Mimic ransomware состоит из нескольких потоков, использующих функцию CreateThread для ускорения шифрования и усложнения анализа для исследователей безопасности.

При выполнении она сначала регистрирует горячую клавишу (Ctrl + F1, используя API RegisterHotKey), которая отображает журналы состояния, выполняемые ransomware.

Mimic ransomware обладает множеством возможностей, включая следующие:

  • сбор системной информации
  • Создание персистентности с помощью ключа RUN
  • обход контроля учетных записей пользователей (UAC)
  • отключение Защитника Windows
  • отключение телеметрии Windows
  • Активация мер по предотвращению выключения
  • Активация мер защиты от выключения
  • Размонтирование виртуальных дисков
  • Завершение процессов и служб
  • Отключение спящего режима и выключения системы
  • Удаление индикаторов
  • Запрет восстановления системы

Mimic использует Everything32.dll, легитимную систему поиска имен файлов в Windows, которая может возвращать результаты запросов в режиме реального времени. Он злоупотребляет этим инструментом, запрашивая определенные расширения файлов и имена файлов, используя API Everything для получения пути к файлу для шифрования.

Mimic ransomware с его многочисленными возможностями, похоже, использует новый подход к ускорению своей работы, объединяя несколько потоков и используя API Everything для шифрования (минимизируя использование ресурсов, что приводит к более эффективному выполнению). Более того, угрожающий агент, стоящий за Mimic, похоже, изобретателен и технически подкован, используя утечку сборки вымогательского ПО, чтобы использовать его различные возможности и даже усовершенствовать его для более эффективных атак.

Indicators of Compromise

SHA256

  • 08f8ae7f25949a742c7896cb76e37fb88c6a7a32398693ec6c2b3d9b488114be
  • 136d05b5132adafc4c7616cd6902700de59f3f326c6931eb6b2f3b1f458c7457
  • 1dea642abe3e27fd91c3db4e0293fb1f7510e14aed73e4ea36bf7299fd8e6506
  • 2e96b55980a827011a7e0784ab95dcee53958a1bb19f5397080a434041bbeeea
  • 30f2fe10229863c57d9aab97ec8b7a157ad3ff9ab0b2110bbb4859694b56923f
  • 480fb2f6bcb1f394dc171ecbce88b9fa64df1491ec65859ee108f2e787b26e03
  • 4a6f8bf2b989fa60daa6c720b2d388651dd8e4c60d0be04aaed4de0c3c064c8f
  • 7ae4c5caf6cda7fa8862f64a74bd7f821b50d855d6403bde7bcbd7398b2c7d99
  • 9c16211296f88e12538792124b62eb00830d0961e9ab24b825edb61bda8f564f
  • a1eeeeae0eb365ff9a00717846c4806785d55ed20f3f5cbf71cf6710d7913c51
  • b0c75e92e1fe98715f90b29475de998d0c8c50ca80ce1c141fc09d10a7b8e7ee
  • b68f469ed8d9deea15af325efc1a56ca8cb5c2b42f2423837a51160456ce0db5
  • bb28adc32ff1b9dcfaac6b7017b4896d2807b48080f9e6720afde3f89d69676c
  • bf6fa9b06115a8a4ff3982427ddc12215bd1a3d759ac84895b5fb66eaa568bff
  • c576f7f55c4c0304b290b15e70a638b037df15c69577cd6263329c73416e490e
  • c634378691a675acbf57e611b220e676eb19aa190f617c41a56f43ac48ae14c7
  • c71ce482cf50d59c92cfb1eae560711d47600541b2835182d6e46e0de302ca6c
  • e67d3682910cf1e7ece356860179ada8e847637a86c1e5f6898c48c956f04590
  • ed6cf30ee11b169a65c2a27c4178c5a07ff3515daa339033bf83041faa6f49c1
SEC-1275-1
Добавить комментарий