LockBit Ransomware IOCs - Part 3

ransomware IOC

Лаборатория FortiGuard Labs обнаружила новую кампанию с вымогательским ПО LockBit в декабре и январе прошлого года с использованием комбинации методов, эффективных против решений AV и EDR. LockBit является одним из наиболее опасных ransomware, активных с 2019 года. Она была частью нескольких успешных атак на самые разные отрасли, включая критическую инфраструктуру.

LockBit Ransomware

Атака начинается с контейнера .img и техники социальной инженерии, заключающейся в отображении одного файла после его монтирования и сокрытии от пользователя остальных файлов. Это также может привести к тому, что аналитики вредоносного ПО не заметят полезную нагрузку при изучении образцов вручную.

Затем пользователю предлагается открыть единственный видимый файл ярлыка.

В некоторых случаях, которые мы наблюдали, выполняется сценарий python с использованием официального пакета Python embed. Единственная цель сценария - запуск последующих сценариев BAT. Некоторые варианты использовали известный метод обхода UAC, злоупотребляя легитимным fodhelper.exe. Это позволяет BAT-файлу злоумышленника запускаться в новом повышенном процессе без разрешения пользователя.

Сценарий BAT (4) выполняет несколько действий:

  1. Изменяет пароль вошедшего в систему пользователя.
  2. Копирует свои файлы в C:\ProgramData.
  3. Обеспечивает после перезагрузки системы вход в систему без участия пользователя (с помощью SysInternals Autologon).
  4. Пытается
    1. a. Установить следующую перезагрузку в безопасном режиме с помощью bcdedit.exe.
    2. b. Зарегистрировать новую службу, которая будет запускать свой VBS-скрипт (4.1), используя sc.exe.
    3. c. Настройте службу на запуск также в безопасном режиме с помощью reg.exe.
  5. Если это не удается, он устанавливает в реестре BAT-файл (4.2), который будет запускаться при входе в систему как другая оболочка пользовательского интерфейса с помощью Winlogon.
  6. Перезагружает машину.

Исполняемый файл ransomware находится в защищенном паролем архиве. Сценарий, запускаемый после загрузки, выполняет другой сценарий BAT для извлечения полезной нагрузки ransomware. Он использует архиватор 7-zip и запускает его с аргументом '-pass', который необходим для распаковки вредоносного исполняемого файла.

Конечной полезной нагрузкой является LockBit. Аналитики компании TrendMicro опубликовали анализ этой программы-выкупа.

Целевая аудитория нацелена на испаноязычных жертв - все образцы нацелены на мексиканские или испанские фирмы, в основном в консалтинговом и юридическом секторах.

Доставка через контейнер .img позволяет обойти механизм защиты Mark of The Web (MOTW). Многоступенчатые скрипты, извлекающие защищенный паролем исполняемый файл ransomware, который распаковывается только при запуске с уникальным паролем, позволяют обойти традиционное обнаружение на основе сигнатур.

Авторы вредоносного ПО продемонстрировали творческий подход к использованию подписанных легитимных исполняемых файлов: монтирование .img-файлов проводником Windows, выполнение python подписанным интерпретатором, извлечение зашифрованных архивов с помощью 7-zip, автоматический вход в систему с помощью Autologon от Sysinternals. Это позволяет минимально полагаться на пользовательский код, сократить расходы на разработку и остаться незамеченным для РЭД.

Уклончивый характер этой кампании демонстрирует, что злоумышленники продолжают использовать все более скрытые методы, чтобы избежать обнаружения. Эта уникальная комбинация исполняемых файлов не встречалась в предыдущих атаках LockBit.

Эти полезные нагрузки могут быть связаны с утечкой билдера LockBit в конце 2022 года. Таким образом, окончательное отнесение к первоначальной группе, стоящей за LockBit, или ее филиалам может быть затруднено. Другие киберпреступники захотят ассоциировать себя со сдерживанием, которое уже было обеспечено прошлыми атаками LockBit.

Indicators of Compromise

SHA256

  • 1858a862390adcaa4cea6782e7dba077697475ff9ada9d75c4897ccd563998af
  • 1ef3ae251833be08b6f3e525969ae02c28cb0238e3adb3091e572a10633f7ef7
  • 334148a7434f4fd27dcc6600edc2f29e4f11ada0be9f71f807cbd4154abd74be
  • 35bf036bf46fa21f3354d60a2c50d2959e1e9193bec8364575dc3fd4644732ae
  • 50f49ac742a127085e0a824bcae7e25326ea0ef0741f0abe34ce494f2c4ef4d2
  • 6eb6431dcfb1e7105fb05e2d8b01e231f6d4b82a1df3639499d0adacd00757cc
  • 781ead305cdb5fa0153369431dedd40fe138308fcdf5dfda1cfeaaba296752e3
  • 8465c979990e75262d15e93453287d6107f008035d6d6a05bd3a92c2e3fe1d40
  • cb049c6e59106bbdfd804a9d02bb31ea09a3918018cbb97fb12d2bcf9e475465
  • cc58dcd32a440e7f95d19b653a55c1e2c383efc2bd19443238dd3008c1cbe147
  • d73bcd2e29191b260a26d87c3035bde33163cc319649291db9f04c48c94da896
  • dad61d9f919a9cc84ae633e948946e7546b21dc4d9d47d19d96fd308c7de40cb
  • dca325a0028dc8e41dcf739cd00701a19066fc88c0d22be5316f7a4b7b219fe8
  • ee2b182a56ded459a113513985ff624631a9515c7efa2282708483ace640eb3a
  • fd3577ff36496320485ffa05681ffa516a56fc4818c3fc89774aa4bb20e2c17f
SEC-1275-1
Добавить комментарий