AvosLocker勒索軟體的變種濫用驅動程式檔案以禁用防毒軟體,藉以掃描Log4j漏洞

Photo Credit: TrendMicro

資安研究人員披露了 AvosLocker勒索軟體的一種新變種,該變​​種通過利用未修補的安全漏洞log4shell,在破壞目標網路後禁用防毒軟體以逃避檢測, TrendMicro研究人員 Christoper Ordonez 和 Alvin Nieto在5月2日的研究分析中說,我們從美國觀察到的一種AvosLocker新變種的第一個樣本,該變種能使用合法的 Avast Anti-Rootkit 驅動程式檔案 (asWarPot.sys) 禁用防禦解決方案, AvosLocker勒索軟體還能夠使用 Nmap NSE Script掃描多個端點以查找Log4j漏洞,以將回調伺服器傳輸到其惡意中繼站。

AvosLocker是一個基於勒索軟體即服務(Ransomware as a Service, RaaS)組織,於 2021年7月首次被發現,與針對美國關鍵基礎設施(包括金融服務和政府設施)的一系列攻擊有關,如果受害目標實體拒絕支付贖金,AvosLocker通過拍賣從受害者那裡竊取的數據來實施雙重勒索。根據在2022 年 3 月的美國FBI發布的一份資安警告,AvosLocker勒索軟體聲稱的其他目標受害者位於敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿聯酋、英國、加拿大、中國和台灣,在2021 年 7 月 1 日至 2022 年 2 月 28 日期間,食品和飲料行業是受災最嚴重的行業,其次是技術、金融、電信和媒體業。

攻擊的入口點被認為是通過利用 Zoho的ManageEngine ADSelfService Plus 軟體中的遠端程式執行漏洞( CVE-2021-40539 )來運行託管在遠端伺服器上的 HTML 應用程式 ( HTA ) 來達成的。HTA執行了一個混淆的PowerShell 腳本,其中包含一個 shellcode,能夠連接回C2伺服器以執行任意命令,這包括從伺服器檢索 ASPX Web shell 以及AnyDesk遠端桌面軟體的安裝程式,後者用於部署其他工具以掃描本地網路、終止安全軟體並刪除勒索軟體有效負載。

複製到受感染端點的是一個 Nmap 腳本,用於掃描網路以查找 Log4Shell 遠端程式碼執行漏洞 ( CVE-2021-44228 ),以及一個名為 PDQ 的大規模部署工具,用於向多個端點傳遞惡意Batch script。Batch scrip配備了廣泛的功能,允許它禁用 Windows 更新、Windows Defender 和 Windows 錯誤恢復,此外還可以阻止安全產品的啟動執行、建立新的管理員用戶以及啟動勒索軟體二進製檔案。

另外,AvosLocker還使用了aswArPot.sys,一個合法的 Avast 反 rootkit 驅動程式,來阻止與不同安全解決方案相關的進程,其舊版本中存在漏洞,捷克資安公司Avast於 2021 年 6 月解決的驅動程式中已修補了漏洞。Avast表示,已與微軟密切合作,在 Windows 操作系統(10 和 11)中發布了一個組塊,無法將舊版本的 Avast 驅動程式加載到memory中,因此運行完全更新的Windows 10 和 11的系統不易受到此類攻擊。

AvosLocker 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96

a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9

14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8

05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5

國外資安媒體揭露,技嘉再次成為勒索軟體的受害者,AvosLocker攻擊了主板大廠商技嘉,威脅發布所有盜來的數據

AvosLocker的揭秘網站上技嘉的頁面

根據國外資安媒體ThreatpostCybernews等的報導,在被ransomEXX勒索攻擊的三個月後,技嘉(Gigabyte)又被AvosLocker勒索軟體攻擊,操作名為 AvosLocker勒索軟體的駭客聲稱已成功攻擊了技嘉。AvosLocker是一種新型勒索軟體,於 2021 年6月首次被發現,與大多數勒索軟體組織一樣,以勒索軟體即服務(Ransomware as a Service;RaaS)的模式經營,也同時招募會員(Affiliate),其揭秘網站以紫藍色甲蟲作為標誌,過去的受害者包括美國、英國、阿聯酋、比利時、西班牙和黎巴嫩,此次技嘉事件是AvosLocker首度入侵台灣,一般來說AvosLocker的勒索金額從50,000美元到75,000美元不等,比其他勒索軟體要求的金額相對地低。根據資安公司Cyble在 7 月的報告,AvosLocker勒索軟體主要通過垃圾郵件活動或廣告傳播惡意軟體來感染 Windows 系統。本月較早時候,AvosLocker引入了拍賣功能,通過拍賣的方式在Telegram和暗網論壇上轉售不付贖金的受害者數據。

10月20日,AvosLocker釋出了一些盜來數據,證明他們確實攻擊了技嘉,這些數據包括密碼和用戶名、員工工資單的詳細資料、人力資源檔案和信用卡詳細資料等。此外,還包括有關技嘉與 Barracuda Networks Inc.、Blizzard Entertainment Inc.、Black Magic、Intel Corp.、Kingston Technology Corp.、Amazon.com Inc. 和 Best Buy Co. 之間的文件。

AvosLocker揭秘網站上的受害者名單
AvosLocker釋出技嘉客戶的樣本

這是技嘉3個月內的第二次被勒索軟體攻擊事件,8月初遭受RansomEXX勒索軟體攻擊,被盜112GB 的數據,其中包括來自 Intel、AMD 和 American Megatrends 的有價值的機密文件,此外,目前尚不清楚 8 月初的攻擊是否與此次AvosLocker的攻擊有關。

10月中宏碁印度的售後服務系統遭Desorden Group入侵,後又證實Desorden也入侵了臺灣總部的系統,並盜取員工的機敏資訊,台灣企業接連發生被入侵後又再次被入侵的事件,資安的把關無疑是企業需要正視的課題。

有關AvosLocker勒索軟體的入侵指標:

SHA 256: 6584cd273625ee121e330a981cc04e1f1d312356c9cccdb62932ea7aad53a731

SHA 256: 43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856

SHA 1: f6f94e2f49cd64a9590963ef3852e135e2b8deba

MD5: d285f1366d0d4fdae0b558db690497ea

MD5: cf0c2513b6e074267484d204a1653222