НОВОСТИ Эксперты нашли связь между вымогателем purelocker и хак-группами cobalt и fin6

GLOV

Знаменитый
ЮБИЛЕЙНАЯ ЛЕНТА

GLOV

Знаменитый
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
20 Апр 2019
Сообщения
1,618
Реакции
112
Репутация
0
Род занятий

Готовые кошельки, Дебетовые карты

ГАРАНТ
1

Специалисты Intezer и IBM X-Force изучили шифровальщика PureLocker, который написан на PureBasic и способен атаковать Windows, Linux и macOS. Интересно, что операторы малвари, похоже, пользовались услугами того же MaaS-провайдера, что и хак-группы Cobalt и FIN6.

PureLocker оставлялся незамеченным на протяжении нескольких месяцев, так как авторы малвари различными способами уклонялись от внимания исследователей. К примеру, образец для Windows маскировался под криптографическую библиотеку C++ под названием Crypto++, и использовал функции, обычно встречающиеся в библиотеках для воспроизведения музыки. В итоге малварь оставалась незамеченной антивирусными решениями на VirusTotal в течение нескольких недель. Кроме того, PureLocker не проявляет вредоносное и подозрительное поведение, если работает в песочнице или отладочном окружении. Более того, в таком случае пейлоад вообще удаляется после выполнения.



Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Если говорить о шифровании файлов, здесь PureLocker мало отличается от других вымогателей, хотя и стремиться заразить не максимальное количество жертв, а используется для скрытных, направленных атак. Он меняет расширение файлов на .CR1 и использует алгоритмы AES и RSA, не оставляя жертвам возможности восстановления данных, удаляя теневые копии. Вредонос не блокирует все файлы в скомпрометированной системе, избегая исполняемых файлов.

Изучив малварь более детально, эксперты заметили кое-что интересное: вредонос, конечно, не имеет никакого отношения к Crypto++, и хотя по большей части он оказался уникальным, в нем также был замечен код, присущий другим семействам малвари, в основном связанным с хак-группой Cobalt.


Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Как оказалось, PureLocker использует в работе бэкдор More_Eggs, который продается в даркнете и также известен под названиями Terra Loader и SpicyOmelette. Исследователи давно связывают этот бэкдор с провайдером MaaS (Malware-as-a-Service), чьими услугами пользуются группировки Cobalt и FIN6.

В итоге аналитики Intezer выдвинули предположение, что за созданием More_Eggs и PureLocker стоят одни и те же люди.Так, компоненты COM Server DLL в обоих случаях написаны на PureBasic, стадия атаки перед пейлоадом выглядит практически идентично (как с точки зрения функциональности, так и с точки зрения кода), да и методы кодирования и декодирования тоже практически одинаковы.


Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

 
Сверху