犯罪集团INDRIK SPIDER ,使用APT+勒索手段针对大型企业实行天价敲诈 &&其他情报

释放双眼,带上耳机,听听看~!


威胁情报:

一、

老牌网络犯罪集团INDRIK SPIDER ,一个从2014年6月就开始批量投放Dridex银行木马的组织,这么多年来持续运营。而经过crowdstrike的观察发现,该集团开始使用名为BitPaymer的勒索软件进行定点攻击投放。

        具体作案流程图如下,很具体的图,不解释了。

感染途径目前被定位为针对FlashPlayer插件和Chrome浏览器来提供伪造更新

类似如下。

       这些伪造更新通过已被入侵的合法网站提供,并使用社会工程学诱骗用户下载和运行恶意可执行文件。

       这些伪造更新系列似乎是付费服务(这年头提供这种服务都是发财之道),INDRIK SPIDER仅使用该服务来传送其恶意软件,因为其他恶意软件也通过相同的广告系列提供。      

        感染后就开始进行横向移动了。

        在受害者主机上运行着Dridex加载器和PowerShell Empire。

PowerShell Empire是一种专为渗透测试而开发的后期开发代理,用于在主机之间横向移动。

        之后PowerShell Empire会在受害者服务器上部署Mimikatz模块。然后开始抓密码,搞域控。

        需要注意的是,Dridex加载程序的最新版本还允许它执行系统和网络侦察。这些侦察功能包括收集有关主机上当前用户的信息,列出本地网络上的计算机以及提取系统环境变量的功能,当然是为了寻找有价值目标。

       一旦搞完域控,会采用两种不同的方法部署BitPaymer勒索。

一、

仅针对域控制器和其他关键基础架构(如工资单服务器),并使用PowerShell Empire直接在这些服务器上下载和执行BitPaymer恶意软件。

二、

BitPaymer恶意软件被下载到受害者网络中的网络共享,并且调用的启动脚本gpupdate.bat通过域控制器的组策略对象(GPO)被推送到网络上的所有主机。

该脚本从共享中复制了BitPaymer,并在网络中的每台主机上执行它,加密了数千台计算机。  

    

        好了,涨完知识,搞完所有的,下面对BitPaymer勒索开始分析了

Dridex模块:

 

该勒索软件具有反检测功能,有加密字符串表,字符串哈希,动态API解析,注册表持久性网络共享加密,被劫持的服务持久性  ,Windows事件查看器UAC绕过(eventvwr.msc),删除shadow文件等功能,具体看报告,只介绍特色。

最后从账户可以看出,目前已经收入人民币1千万了。

除了INDRIK SPIDER之外,由BOSS SPIDER开发运营的Samas(又名SamSam),以及GRIM SPIDER的Ryuk的勒索软件,同样是针对大型公司勒索的集团,同样需要长期进行关注。

ioc:

PDB:  \Work\ _bin\Release-Win32\wp_encrypt.pdb

相关链接:

https://www.crowdstrike.com/blog/big-game-hunting-the-evolution-of-indrik-spider-from-dridex-wire-fraud-to-bitpaymer-targeted-ransomware/

二、

昨天的推送,底下还有些资源

Magecart旗下威胁组织剖析大报告&针对中东的在野0day漏洞CVE-2018-8589分析情报

近日,megacart威胁集团再曝出新活动,且活动与昨天的报告中行动不一致

相关链接:

https://www.zdnet.com/article/card-skimming-malware-removed-from-infowars-online-store/

https://gwillem.gitlab.io/2018/11/12/merchants-struggle-with-magecart-reinfections/

可以看这个twitter大佬,其一直关注这个集团动态。

三、

JOKAA(RR)行动,来自Mole Rats / Gaza Cybergang组织的最新活动

为什么叫这个行动。

通过各类恶意文档可以关联到pastbin上的链接

然后发现这个组织的人在pastbin上建了两个账号,然后在上面放木马回连请求的脚本或者下发命令。

然后这两账号一个叫JOKAA,一个叫JOKRR。

最后释放的是NeD Worm木马,Gaza Cybergang的专用马。

(我对Gaza Cybergang这个组织名格外喜欢)

相关链接:

1、https://mymalwareparty.blogspot.com/2018/11/operation-jokaarr.html

Operation Desert Eagle (Malware_Party)

2、http://mymalwareparty.blogspot.com/2017/07/operation-desert-eagle.html

Gaza Cybergang (Kaspersky SecureList)

3、https://securelist.com/gaza-cybergang-updated-2017-activity/82765/

Operation Dusty Sky (ClearSky Security)

4、https://www.clearskysec.com/dustysky/

安全资源

点击 恶意挖矿攻击的现状、检测及处置

针对近些年的挖矿事件以及处置手段进行了详细描绘,值得一看

说点屁话

个人认为,单从分析勒索样本本身而言过于狭隘,勒索千变万变,改个密钥就是新勒索,改个后缀就是新变种(虽说这对写报告真的是很大帮助),怎么分析是个头。

若看不到勒索事件发生的背后情况,包括为什么要攻击这个单位,为什么这个单位会给赎金,这个单位是否有内鬼等,不把勒索这件事情,当成时刻会遭受APT攻击的程度去进行安全体系建设,去进行数据备份服务器搭建,一样会出事,一样会被逼无奈去交赎金,或者去找代理商。

针对勒索软件的安全体系建设周末可以写写,有这方面需求的可以和我聊聊,拓宽一下思维。(别老想着搞大新闻,能防不能防大家心里没点*数么)

回到正题,说这么多废话也是因为看了这个网络犯罪集团INDRIK SPIDER 的报告。

怎么进去,怎么横向移动,怎么把你内网所有机子都搞成锁机状态,这个组织,将是未来勒索黑产军团的指向标。

剩下的见知识星球,早进早便宜,或用搜索功能,查找历史文章,关键词,提升自我,是您良好选择。

本文源自微信公众号:黑鸟

人已赞赏
安全工具

赚了20亿美元GandCrab勒索病毒家族的故事

2019-10-16 10:12:20

安全工具

Windows 0day提权漏洞分析CVE-2019-0859

2019-10-16 10:12:25

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索