Компания Cyble провела исследование атаки программы вымогательного ПО DOGE BIG BALLS Ransomware, выявив ложные связи с Эдвардом Користайном.
Описание
Программа использует ZIP-файл с обманчивым ярлыком для тихого развертывания многоступенчатой цепи заражения через PowerShell, эксплуатируя уязвимый драйвер для повышения привилегий (CVE-2015-2291). Разработчики используют адаптированную версию выкупного ПО Fog, названную DOGE BIG BALLS Ransomware, добавляя провокационные комментарии, политические намёки и геолокационное отслеживание для более точного определения расположения жертв. Инструмент имеет множество функций, включая сбор информации о системе через PowerShell и маяк Havoc C2 для долгосрочного доступа.
Замаскированная под финансовую тематику, программа использует множественные слои PowerShell для доставки вредоносного кода, включая эксплойт в режиме ядра. Это позволяет злоумышленникам собирать подробные данные о системе и обходить средства защиты. DOGE BIG BALLS Ransomware производит психологическое воздействие на жертву, включая использование имени и адреса реального человека для создания путаницы. Используется уязвимый драйвер Intel для получения доступа на уровне ядра, что позволяет манипулировать системой и отключать механизмы безопасности.
Эта операция также отличается точным геолокационным отслеживанием, обращаясь к API для определения физического местоположения через MAC-адрес маршрутизатора. Компания Cyble обнаружила эти методы через анализ PowerShell-скрипта stage1.ps1, который выполняет загрузку и запуск вредоносных файлов на компьютере жертвы. DOGE BIG BALLS Ransomware демонстрирует сложные технические и психологические методы, направленные на максимальное овладение системой и уйти от защиты.
Индикаторы компрометации
URLs
- https://hilarious-trifle-d9182e.netlify.app/cwiper.exe
- https://hilarious-trifle-d9182e.netlify.app/ktool.exe
- https://hilarious-trifle-d9182e.netlify.app/lootsubmit.ps1
- https://hilarious-trifle-d9182e.netlify.app/Pay%20Adjustment.zip
- https://hilarious-trifle-d9182e.netlify.app/stage1.ps1
SHA256
- 2c38a56beec1f7c8b919a1a2d9f9497358e763a1c8d9d71aa8a0e4ef062d3ec2
- 30a6688899c22a3ce4c1b977fae762e3f7342d776e1aa2c90835e785d42f60c1
- 330e415ed1dd462486bd99676ef03bcc1da05c17ced655f82b2fbd0787e7dc8f
- 3d2cbef9be0c48c61a18f0e1dc78501ddabfd7a7663b21c4fcc9c39d48708e91
- 4106345cd7a879597c5132b307f9c616e539616241d39a32393a1a8cd0c23452
- 44b7eebf7a26d466f9c7ad4ddb058503f7066aded180ab6d5162197c47780293
- 4ad9216a0a6ac84a7b0b5593b0fc97e27de9cdfeb84ab7e5339ae5a4102100c0
- 5402c5dc6656697b22a20e90f6ab7a2cd216ce7c70126ed0e855682035c299be
- 805b2f5cab2a4ba6088e6b6f91d6f1f0671c61092b571358969d69ff8c184c30
- 8d843c757aea85087a95794f93071bfacb7c4db06f33520308f39b97cf88cabb
- 8e209e4f7f10ca6def27eabf31ecc0dbb809643feaecb8e52c2f194daa0511aa
- a59c40e7470b7003e8adfee37c77606663e78d7e3f2ebb8d60910af19924d8df
- ac6533a2702a16e90746ce9f84895e8d579314c0e18589610e4e281d5571a954
- d802bdaad6713549b5098d3545e07794900869c01a68024a1282fea74d40c4a3
- ecfed78315f942fe0e6762acd73ef7f30c34620615ef5e71f899e1d069dabd9e
- f08b5316f6bc009d0cb41d4ce0086e615bf130b667cb2cdceecad07fda24fc49
- ffe6f62b8e76fb8be1498e403941406a0f6a4dea8816878c27c031c78ca44045