Злоумышленникам удалось создать и запустить продвинутый VBS-сценарий, который использовал преимущества BitLocker для несанкционированного шифрования файлов. Этот скрипт был обнаружен в Мексике, Индонезии и Иордании. Анализ полученного вредоносного кода помог нам понять, как работает эта угроза и что можно сделать для защиты от нее.
Примечательно, что злоумышленники не старались обфусцировать основную часть кода скрипта. По-видимому, это объясняется тем, что на момент выполнения скрипта они уже полностью контролировали целевую систему. Первая функция скрипта преобразовывает строку в двоичное представление с использованием объекта ADODB.Stream. Затем эта функция используется для кодирования данных, отправляемых в HTTP POST-запросе.
Сценарий использует Windows Management Instrumentation (WMI) для получения информации об операционной системе через класс Win32_OperatingSystem. Сценарий проверяет различные параметры, такие как домен и версия ОС, чтобы определить, является ли целевая система подходящей для инфицирования. Затем сценарий изменяет размеры дисковых разделов, используя diskpart, чтобы создать нераспределенное пространство и новые разделы. Если операции по изменению размера диска прошли успешно, код продолжит свою работу.
Хотя использование функции BitLocker для злоумышленных целей не является новым, в данном случае разработчик предпринял дополнительные шаги, чтобы максимизировать ущерб от атаки и затруднить эффективную реакцию на инцидент.
Indicators of CompromiseURLs
- https://earthquake-js-westminster-searched.trycloudflare.com:443/updatelog
- https://generated-eating-meals-top.trycloudflare.com/updatelog
- https://generated-eating-meals-top.trycloudflare.com/updatelogead
- https://scottish-agreement-laundry-further.trycloudflare.com/updatelog
Emails
- conspiracyid9@protonmail.com
- onboardingbinder@proton.me
MD5
- 842f7b1c425c5cf41aed9df63888e768
SHA1
- d96ddc136a68cf669238647c55ba88ea30bf0778
SHA256
- e5471fb4827cb570e65c2ebdff5da38e64b6a9fe47a81d11dab2f0937315be30