標籤: AvosLocker

資安研究人員披露了 AvosLocker勒索軟體的一種新變種，該變​​種通過利用未修補的安全漏洞log4shell，在破壞目標網路後禁用防毒軟體以逃避檢測， TrendMicro研究人員 Christoper Ordonez 和 Alvin Nieto在5月2日的研究分析中說，我們從美國觀察到的一種AvosLocker新變種的第一個樣本，該變種能使用合法的 Avast Anti-Rootkit 驅動程式檔案 (asWarPot.sys) 禁用防禦解決方案， AvosLocker勒索軟體還能夠使用 Nmap NSE Script掃描多個端點以查找Log4j漏洞，以將回調伺服器傳輸到其惡意中繼站。

AvosLocker是一個基於勒索軟體即服務(Ransomware as a Service, RaaS)組織，於 2021年7月首次被發現，與針對美國關鍵基礎設施（包括金融服務和政府設施）的一系列攻擊有關，如果受害目標實體拒絕支付贖金，AvosLocker通過拍賣從受害者那裡竊取的數據來實施雙重勒索。根據在2022 年 3 月的美國FBI發布的一份資安警告，AvosLocker勒索軟體聲稱的其他目標受害者位於敘利亞、沙特阿拉伯、德國、西班牙、比利時、土耳其、阿聯酋、英國、加拿大、中國和台灣，在2021 年 7 月 1 日至 2022 年 2 月 28 日期間，食品和飲料行業是受災最嚴重的行業，其次是技術、金融、電信和媒體業。

攻擊的入口點被認為是通過利用 Zoho的ManageEngine ADSelfService Plus 軟體中的遠端程式執行漏洞( CVE-2021-40539 )來運行託管在遠端伺服器上的 HTML 應用程式 ( HTA ) 來達成的。HTA執行了一個混淆的PowerShell 腳本，其中包含一個 shellcode，能夠連接回C2伺服器以執行任意命令，這包括從伺服器檢索 ASPX Web shell 以及AnyDesk遠端桌面軟體的安裝程式，後者用於部署其他工具以掃描本地網路、終止安全軟體並刪除勒索軟體有效負載。

複製到受感染端點的是一個 Nmap 腳本，用於掃描網路以查找 Log4Shell 遠端程式碼執行漏洞 ( CVE-2021-44228 )，以及一個名為 PDQ 的大規模部署工具，用於向多個端點傳遞惡意Batch script。Batch scrip配備了廣泛的功能，允許它禁用 Windows 更新、Windows Defender 和 Windows 錯誤恢復，此外還可以阻止安全產品的啟動執行、建立新的管理員用戶以及啟動勒索軟體二進製檔案。

另外，AvosLocker還使用了aswArPot.sys，一個合法的 Avast 反 rootkit 驅動程式，來阻止與不同安全解決方案相關的進程，其舊版本中存在漏洞，捷克資安公司Avast於 2021 年 6 月解決的驅動程式中已修補了漏洞。Avast表示，已與微軟密切合作，在 Windows 操作系統（10 和 11）中發布了一個組塊，無法將舊版本的 Avast 驅動程式加載到memory中，因此運行完全更新的Windows 10 和 11的系統不易受到此類攻擊。

AvosLocker 勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96

a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9

14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8

05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5

根據國外資安媒體Threatpost、Cybernews等的報導，在被ransomEXX勒索攻擊的三個月後，技嘉(Gigabyte)又被AvosLocker勒索軟體攻擊，操作名為 AvosLocker勒索軟體的駭客聲稱已成功攻擊了技嘉。AvosLocker是一種新型勒索軟體，於 2021 年6月首次被發現，與大多數勒索軟體組織一樣，以勒索軟體即服務（Ransomware as a Service；RaaS）的模式經營，也同時招募會員(Affiliate)，其揭秘網站以紫藍色甲蟲作為標誌，過去的受害者包括美國、英國、阿聯酋、比利時、西班牙和黎巴嫩，此次技嘉事件是AvosLocker首度入侵台灣，一般來說AvosLocker的勒索金額從50,000美元到75,000美元不等，比其他勒索軟體要求的金額相對地低。根據資安公司Cyble在 7 月的報告，AvosLocker勒索軟體主要通過垃圾郵件活動或廣告傳播惡意軟體來感染 Windows 系統。本月較早時候，AvosLocker引入了拍賣功能，通過拍賣的方式在Telegram和暗網論壇上轉售不付贖金的受害者數據。

10月20日，AvosLocker釋出了一些盜來數據，證明他們確實攻擊了技嘉，這些數據包括密碼和用戶名、員工工資單的詳細資料、人力資源檔案和信用卡詳細資料等。此外，還包括有關技嘉與 Barracuda Networks Inc.、Blizzard Entertainment Inc.、Black Magic、Intel Corp.、Kingston Technology Corp.、Amazon.com Inc. 和 Best Buy Co. 之間的文件。

這是技嘉3個月內的第二次被勒索軟體攻擊事件，8月初遭受RansomEXX勒索軟體攻擊，被盜112GB 的數據，其中包括來自 Intel、AMD 和 American Megatrends 的有價值的機密文件，此外，目前尚不清楚 8 月初的攻擊是否與此次AvosLocker的攻擊有關。

10月中宏碁印度的售後服務系統遭Desorden Group入侵，後又證實Desorden也入侵了臺灣總部的系統，並盜取了員工的機敏資訊，台灣企業接連發生被入侵後又再次被入侵的事件，資安的把關無疑是企業需要正視的課題。

有關AvosLocker勒索軟體的入侵指標:

SHA 256: 6584cd273625ee121e330a981cc04e1f1d312356c9cccdb62932ea7aad53a731

SHA 256: 43b7a60c0ef8b4af001f45a0c57410b7374b1d75a6811e0dfc86e4d60f503856

SHA 1: f6f94e2f49cd64a9590963ef3852e135e2b8deba

MD5: d285f1366d0d4fdae0b558db690497ea

MD5: cf0c2513b6e074267484d204a1653222