蓝盟IT小贴士,来喽!
在过去的一年里,Maze成为威胁企业和大规模组织的最臭名昭著的恶意软件家族之一。 去年年底以来,佛州彭萨科拉市、IT服务商Cognizant、全录、航天服务商VT San Antonio Aerospace、资安全保险商Chubb、韩国电子大厂LG、芯片服务商MaxLinear受到Maze的虐待, 今年美国电缆制造公司Southwire受到Maze侵害的今年3月,ST Engineering Aerospace的美国子公司遭遇Maze恐吓软件攻击,该公司及其合作伙伴被盗了1.5TB的机密数据。 2月,Maze闯入5家美国律师事务所,要求支付BTC赎金93.3万美元以上。 7月30日,跨国公司佳能(Canon )的电子邮件、存储服务和美国网站被Maze集团的恐吓软件攻击。 Maze要求佳能支付加密货币赎金,否则照片和数据会泄露。 在未能勒索赎金后,勒索软件Maze背后的犯罪组织公开了50.2 GB的LG内部数据和25.8 GB的施乐内部数据。 Maze犯罪组织入侵企业网络后,首先窃取数据,加密数据,最后要求赎金解密文件。 LG和施乐显然拒绝了两次恐吓尝试。 犯罪组织公布的文件中含有LG多个产品固件的源代码,公开的施乐数据看起来与顾客服务业务相关。
Sophos最新的研究表明,Maze胁迫软件背后的攻击者采用了Ragnar Locker胁迫软件组的方法,利用虚拟机避免了检测。
该安全提供商最初观察到了这种攻击手段,攻击者从5月开始将威胁软件的有效载荷分散到虚拟机内。 与Ragnar Locker恐吓软件组相关的攻击者将恶意代码隐藏在Windows XP VM中,因此恐吓软件无需被终端安全软件检测或阻止,可以随意运行今年7月,Sophos发现Maze恐吓软件用同样的方法攻击无名组织。 调查显示,攻击者试图用恐吓软件感染电脑,索取1500万美元的赎金,但最终没有支付。 他们最初没有使用威胁软件感染系统成功,但在第三次尝试成功之前,攻击者使用了Ragnar Locker技术的增强版本。 这种方法有助于攻击者进一步逃避安全产品的检查。Maze的演变史
这个恐吓软件的历史始于2019年上半年,当时没有明显的攻击烙印,恐吓字体包括标题` ` 0010 System Failure 0010 ' ',被研究者简称为` ` ChaCha恐吓软件''
Maze近年来的攻击趋势研究
以前版本的Maze/ChaCha恐吓软件的赎金记录
此后不久,这个特洛伊木马的新版本开始被标记为Maze,使用受害者相关的网站,而不是屏幕截图中显示的普通电子邮件地址。
Maze近年来的攻击趋势研究
Maze胁迫软件最新版本使用的网站
Maze威胁软件的传播策略最初包括漏洞利用工具包(Fallout EK和Spelevo EK )和带有恶意附件的垃圾邮件感染。 以下是恶意垃圾邮件的示例,包括MS Word文档和宏。 目的是下载Maze胁迫软件的有效载荷。
Maze近年来的攻击趋势研究
当收件人打开附加的文档时,系统会提示您启用编辑模式并启用内容。 如果他们上当了,文件中的恶意宏将被运行,受害者的PC将感染Maze恐吓软件。
Maze近年来的攻击趋势研究
除了这些典型的感染方法,Maze背后的开发者也开始以公司和市政组织为目标,最大限度地威胁金钱。
Maze的第一个攻击机制和现在的攻击机制大相径庭,有些事件与安装Cobalt Strike RAT的叉子式钓鱼活动有关。 在其他情况下,网络漏洞是因为利用了脆弱的面向互联网的服务。 可以通过互联网访问的计算机上的弱RDP凭据也构成威胁。 因为Maze的运营商也可能使用这个漏洞。
特权升级、侦察和横向移动的策略也因情况而异。 在这些阶段,观察到使用了mimikatz、procdump、Cobalt Strike、高级IP scanner、Bloodhound、PowerSploit等工具。
在这些中间阶段,攻击者试图识别受感染网络中的服务器和工作站上存储的有价值的数据。 而且,为了在讨论赎金的大小时使用,泄露受害者的机密文件。
在入侵的最后阶段,恶意操作员将安装在所有可以访问Maze胁迫软件可执行文件的计算机上。 这样可以加密受害者的宝贵数据,最终完成攻击。数据泄露/模糊化
Maze恐吓软件是受害者拒绝合作时泄露机密数据的第一个恐吓软件家族之一,实际上,Maze对罪犯非常有利,因此REvil/Sodinokibi,DoppelPaymer,JS wook
Maze恐吓软件的开发人员列出了最近的受害者,开发了公开网络入侵后被盗文件的一部分或全部的网站。
Maze近年来的攻击趋势研究
2020年6月,Maze背后的攻击者与其他两个攻击组织LockBit和RagnarLocker合作,组成了所谓的cartel组织,该集团窃取的数据将刊登在现在Maze运营商维护的博客上。
攻击者不仅通过保存泄露的文档引起业界的关注,而且显然共享他们的专业知识,Maze现在使用的执行技术以前只有RagnarLocker使用。
简单的技术介绍
Maze恐吓软件通常用作C/C开发的、由自定义保护程序模糊化的PE二进制文件(EXE或DLL,取决于特定场景)。 使用各种技术阻止静态分析,如导入动态API函数、使用条件跳转模糊控制流、使用JMP dword ptr [esp-4]代替ST、使用PUSH JMP代替CL等。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
