BlackMatter 勒索軟體利用名為Exmatter的竊密工具,加速竊取受害公司的數據

根據資安公司賽門鐵克的安全研究人員的觀察,BlackMatter已開始在攻擊中利用一種新的竊密工具,加速竊取受害公司的數據。被稱為Exmatter的自訂義工具允許操作BlackMatter 勒索軟體的駭客組織輕鬆定位受感染系統中的有價值數據,表明他們旨在加快攻擊的速度。

據了解,Exmatter 從選定的目錄中竊取特定類型的檔案,並在勒索軟體本身在受感染系統上執行之前將它們上傳到攻擊者控制的伺服器。研究人員表示,這種將數據源(Data source)縮減到僅被視為最有利可圖或業務最關鍵的數據源,旨在加快整個竊取過程,相信是為了讓駭客可以在被中斷之前完成他們的攻擊階段。

Exmatter被編譯為.NET 可執行工具,如果發現特定的command line參數,則嘗試隱藏其視窗,然後繼續收集系統上的所有驅動器名稱和檔案路徑,不包括特定目錄、具有特定屬性的檔和大小小於1,024位元組的檔。Exmatter旨在對選定的檔案類型(如 PDF、Word 檔、spreadsheets和 PowerPoint)進行滲透,並以 LastWriteTime 優先處理要滲透的檔案類型。一旦滲透完成,Exmatter 將覆蓋並刪除受害者電腦中的任何痕跡。

賽門鐵克在報告中表示,攻擊者一直致力於改進 Exmatter,迄今為止觀察到該工具的多種變體,表明其開發人員試圖改進其功能,以盡可能加快數據竊取過程。

自 2021 年 7 月以來,BlackMatter 已被用於攻擊全球多個組織,包括美國的關鍵基礎設施實體。

BlackMatter 與 Coreid 網路犯罪組織有關聯,該組織也經營 Darkside 勒索軟體。在過去的 12 個月中,該組織一直在進行各種引人注目的攻擊,例如 2021 年 5 月對殖民地管道的攻擊。

與大多數勒索軟體參與者一樣,與 Coreid 相關的攻擊會竊取受害者的數據,然後該組織威脅要發布這些數據,以進一步迫使受害者支付贖金。賽門鐵克總結道,Exmatter竊密工具是由Coreid本身或是其會員建立的仍有待觀察,但其發展表明數據盜竊和勒索仍然是該組織的核心重點。

有關Exmatter的入侵指標Indicators of compromise (IOCs):

URL:

https://159.89.128.13/data/

https://157.230.28.192/data/

IPv4:

165.22.84.147

157.230.28.192

159.89.128.13

SHA 256:

fcaed9faa026a26d00731068e956be39235487f63e0555b71019d16a59ea7e6b

8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef

325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1

SHA 256:

58e77aa4207d1f3ae808215c447839ef8b081609

347b3921b0660986bc0ce4d1a41aa77f04377a37