Paradise Ransomware IOCs

ransomware IOC

Аналитическая группа ASEC недавно обнаружила распространение программы Paradise ransomware. Предполагается, что субъекты угрозы используют уязвимость китайской программы дистанционного управления AweSun.

Paradise Ransomware

Подробная информация об эксплуатации уязвимости AweSun пока не подтверждена. Однако, учитывая, что это тот же угрожающий агент, который использовал уязвимость Sunlogin, и тот факт, что Sliver C2 был установлен с помощью PowerShell, сгенерированного дочерним процессом AweSun, можно предположить, что эта атака также была эксплуатацией уязвимости. По сравнению с последней версией AweSun.exe, которая сейчас превышает v2.0, AweSun, использованный для атак, был v1.5 и v1.6, версии, выпущенные несколько лет назад.

Кроме того, команда, используемая в атаке, включает в себя ping, который похож на PoC, использованный в уязвимости Sunlogin. Хотя в настоящее время с этого адреса невозможно ничего скачать, по формату URL мы можем сделать вывод, что это команда, устанавливающая Cobalt Strike.

Похоже, что злоумышленник использует эксплуатацию уязвимости AweSun одновременно с эксплуатацией уязвимости Sunlogin. Упомянутые выше вредоносные программы Sliver и BYOVD были обнаружены в обоих случаях эксплуатации уязвимости наряду с XMRig CoinMiner.

URL загрузки Paradise ransomware: hxxps://upload.paradisenewgenshinimpact[.]top/DP_Main.exe

Paradise, который устанавливается через эксплуатацию уязвимости AweSun, впервые был обнаружен в 2017 году как ransomware типа RaaS (Ransomware as a Service), разработанное в .NET.

Paradise использует различные конфигурационные файлы. После завершения процесса шифрования генерируется файл "%APPDATA%DP\welldone.dp". Если такой файл уже существует, этап шифрования пропускается и показывается записка с выкупом. Paradise перезапустится с привилегией admin, если он выполняется без полномочий, так как ransomware использует ее для шифрования системы; на этом этапе используется файл "%APPDATA%DP\RunAsAdmin.dp". PCID - это значение, которое представляет зараженную систему и сохраняется в файле "id.dp", создаваемом по текущему пути. Это значение также используется в дальнейшем для записки о выкупе и отправки информации о заражении на C&C-сервер.

Paradise генерирует 1024-битный RSA-ключ и использует его для шифрования файлов. Программа-вымогатель шифрует закрытый ключ RSA, необходимый для расшифровки файлов, с помощью главного открытого ключа RSA, сохраненного в данных настроек.

Среди файлов настроек файл "DecryptionInfo.auth" содержит закрытый ключ RSA, который был зашифрован сгенерированным открытым ключом RSA и главным открытым ключом RSA агента угроз.

Пути, исключенные из шифрования, основаны на путях к папкам, поэтому "windows", "firefox", "chrome", "google", "opera" и "%APPDATA%\DP\.". Это означает, что атаке подвергаются все пути, за исключением путей настроек. Отличительной особенностью Paradise является то, что он устанавливает пути "mysql", "firebird", "mssql", "microsoft sql" и "backup" как высокоприоритетные цели шифрования.

Кроме того, эта программа может создать свою копию в %APPDATA%DP\DP_Main.exe и зарегистрировать ее в ключе запуска или удалить теневую службу тома с помощью следующей команды.

После завершения процесса шифрования Paradise передает основную информацию, такую как PCID и имя компьютера, а также такие данные, как количество зашифрованных файлов и время, затраченное на завершение шифрования, на C&C-сервер.

В конце концов, он запускает записку с требованием выкупа, чтобы уведомить пользователя о том, что он был заражен программой-выкупом. В записке указывается адрес электронной почты и адрес кошелька Bitcoin в качестве средства связи.

Indicators of Compromise

URls

  • https://upload.paradisenewgenshinimpact.top/DP_Main.exe
  • http://upload.paradisenewgenshinimpact.top:2095/api/Encrypted.php

MD5

  • 5cbbc1adfd22f852a37a791a2415c92c

Emails

  • main@paradisenewgenshinimpact.top

Bitcoin wallet address

  • 392vKrpVxMF7Ld55TXyXpJ1FUE8dgKhFiv
SEC-1275-1
Добавить комментарий