FOG勒索软件伪装DOGE关联进行传播的技术分析

本文详细分析了FOG勒索软件通过伪装与政府效率部门(DOGE)关联进行传播的技术细节,包括恶意LNK文件、多阶段PowerShell脚本、权限提升漏洞利用和文件加密机制等完整攻击链。

FOG勒索软件通过声称与DOGE有关的网络犯罪分子传播

在我们对VirusTotal上上传的九个样本的调查中,发现FOG勒索软件正被网络犯罪分子通过滥用政府效率部门(DOGE)名称或与政府倡议相关的个人名义进行传播,以此戏弄用户。

调查的ZIP文件"Pay Adjustment.zip"中包含的LNK文件通过电子邮件和网络钓鱼攻击分发,显示了FOG勒索软件的持续活动。

初始访问

我们观察到包含在名为"Pay Adjustment.zip"的ZIP文件中的LNK文件通过电子邮件和网络钓鱼攻击进行分发。

恶意LNK文件伪装为PDF文件

一旦点击,该文件将通过下载名为"stage1.ps1"的PowerShell脚本来执行以下命令。

打开恶意文件时执行的命令

同样,勒索说明中的去混淆脚本也通过下载和运行"stage1.ps1"来执行相同的PowerShell命令。

执行与图3相同PowerShell命令的去混淆代码

下载的PowerShell脚本"stage1.ps1"执行多阶段操作,检索勒索软件加载器(cwiper.exe)、ktool.exe和其他PowerShell脚本。它还会打开政治主题的YouTube视频,并在脚本中直接包含书面政治评论。

有效载荷内容

在调查的负载样本中,我们发现以下文件:

Lootsubmit.ps1

  • 收集系统信息并将其外泄到远程服务器
  • 获取IPv4网关IP,查找MAC地址,并使用Wigle API获取受感染系统的地理位置
  • 从主机收集硬件和系统级信息,如IP地址、CPU配置和其他系统标识符
  • 将所有收集的数据发送到hxxps://hilarious-trifle-d9182e.netlify[.]app

Trackerjacker.ps1

  • 包含base64编码代码并使用85进行XOR运算
  • 与lootsubmit.ps1类似,但更新了Get-GatewayMACs函数,包括用于MAC地址解析的ARP查找

Qrcode.png

  • 打开指向门罗币钱包地址的二维码

Ktool.exe

  • 通过利用易受攻击的Intel网络适配器诊断驱动程序iQVW64.sys促进权限提升
  • 该驱动程序嵌入在二进制文件中,将被提取到%TEMP%文件夹
  • 要使用此功能,需要提供目标进程ID(PID)和硬编码密钥"fd6c57fa3852aec8"作为参数

Ktool.exe通过利用iQVW64.sys促进权限提升

投放器分析

我们观察到,在投放其有效载荷之前,调查的恶意软件会检查各种指标,如处理器数量、RAM、MAC地址、注册表和滴答计数,以检测沙箱。如果任何检查失败,它将退出进程;否则,它会记录未检测到沙箱。

FOG勒索软件检查沙箱

我们还观察到加密的二进制文件嵌入在加载器的数据部分中,然后使用指定密钥进行解密。

加密的二进制文件嵌入在加载器的数据部分

解密加密二进制文件的指定密钥

记录加密相关事件的日志文件dbgLog.sys

与先前观察到的FOG勒索软件使用的勒索说明相同的说明

使用DOGE相关引用进行戏弄的初始勒索说明

在发现的样本中嵌入的勒索软件有效载荷已被验证为FOG勒索软件,并被检测为Ransom.Win32.FOG.SMYPEFG。所有发现的变体都携带相同的有效载荷,仅在用于解密有效载荷的密钥上有所不同。

结论和安全建议

FOG勒索软件是一个相对较新的勒索软件家族,企业必须将其添加到观察列表中。无论我们调查的FOG勒索软件样本的起源和动机如何,无论是原始操作员使用DOGE引用进行戏弄,还是其他参与者将FOG勒索软件嵌入其二进制文件进行冒充,成功的勒索软件攻击的影响仍可能给企业带来财务损失和运营中断。

通过监控妥协指标(IoC)作为主动网络安全防御的一部分,来超越勒索软件威胁。这种方法可以早期检测威胁,增强安全措施,支持取证调查,有效破坏网络犯罪分子的活动。对于研究人员来说,跟踪IoC可以提供有关攻击模式的有价值见解,帮助他们制定更有效的威胁预防策略。SOC应最大化能够启用和帮助自动化这些任务的工具。

企业还可以实施以下安全最佳实践:

  • 维护所有关键数据的最新安全备份。定期测试恢复过程,以确保在发生攻击时能够快速恢复数据。
  • 实施网络分段以限制勒索软件在组织内的传播。通过隔离敏感数据和关键系统,可以防止广泛的损害。
  • 定期更新和修补应用软件、操作系统和其他应用程序,以确保关闭攻击者可能利用的漏洞。
  • 为员工进行定期培训,以识别网络钓鱼尝试和可疑链接。

主动安全与Trend Vision One™

Trend Vision One™是唯一一个AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种综合方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和行业首个主动网络安全AI Trend Cybertron的支持,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化其态势并向利益相关者展示持续改进。借助Trend Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。

威胁情报和狩猎查询

Trend Vision One客户可以使用搜索应用程序来匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。

搜索勒索说明:

1

eventSubId: 101 AND objectFilePath: RANSOMNOTE.txt

搜索文件重命名和在异常目录中投放文件:

1
2

Encrypted File Activity Detected (*.flocked)
eventSubId: 109 AND objectFilePath: /\.flocked$/

更多狩猎查询可供具有威胁洞察权限的Trend Vision One客户使用。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次