FOG勒索软件借DOGE名义传播的技术分析与防御策略

本文详细分析了FOG勒索软件通过伪装成政府效率部门(DOGE)相关文件进行传播的技术细节,包括多阶段攻击链、权限提升漏洞利用及防御建议,帮助企业增强安全防护能力。

FOG勒索软件借DOGE名义传播的技术分析与防御策略

摘要

在我们对VirusTotal上上传的九个样本调查中,发现FOG勒索软件正由网络犯罪分子传播,他们通过滥用政府效率部门(DOGE)的名称或与政府倡议相关的个人来戏弄用户。

调查的ZIP文件中的LNK文件名为“Pay Adjustment.zip”,通过电子邮件和网络钓鱼攻击分发,显示了FOG勒索软件的持续活动。

Trend Vision One™检测并阻止了本文讨论的FOG勒索软件样本。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告,以获取有关FOG勒索软件的丰富上下文和最新更新。

初始访问

我们观察到,包含在名为“Pay Adjustment.zip”的ZIP文件中的LNK文件正在通过电子邮件和网络钓鱼攻击分发。

LNK文件伪装成PDF文件

一旦点击,该文件将通过下载名为“stage1.ps1”的PowerShell脚本来执行以下命令。

执行的命令

同样,赎金记录中的去混淆脚本也通过下载并运行“stage1.ps1”来执行相同的PowerShell命令。

去混淆代码

下载的PowerShell脚本“stage1.ps1”执行多阶段操作,检索勒索软件加载器(cwiper.exe)、ktool.exe和其他PowerShell脚本。它还打开政治主题的YouTube视频,并在脚本中直接包含书面政治评论。

PowerShell脚本包含政治评论

有效负载内容

在以下部分,我们讨论了在调查的负载样本中发现的其他文件:

  • Lootsubmit.ps1:该脚本收集系统信息并将其外泄到远程服务器。它还获取IPv4网关IP,查找MAC地址,并使用Wigle API获取受感染系统的地理位置。此外,它还从主机收集硬件和系统级信息,如IP地址、CPU配置和其他系统标识符。Lootsubmit.ps1还将所有收集的数据发送到hxxps://hilarious-trifle-d9182e.netlify[.]app。

  • Trackerjacker.ps1:该脚本包含base64编码的代码,并经过XOR 85处理。该脚本与lootsubmit.ps1类似,但更新了Get-GatewayMACs函数,包括用于MAC地址解析的ARP查找。

  • Qrcode.png:打开一个QR码,指向一个Monero钱包地址:8BejUQh2TAA5rUz3375hHM7JT8ND2i4u5hkVXc9Bcdw1PTrCrrDzayWBj6roJsE1EWBPGU4PMKohHWZUMopE8WkY7iA6UC1。

  • Ktool.exe:通过利用易受攻击的Intel网络适配器诊断驱动程序iQVW64.sys来促进权限提升。该驱动程序嵌入在二进制文件中,并将提取到%TEMP%文件夹。要使用此功能,需要提供目标进程ID(PID)和硬编码密钥"fd6c57fa3852aec8"作为参数。

Ktool.exe利用iQVW64.sys

投放器分析

我们观察到,在投放其有效负载之前,调查的恶意软件会检查各种指标,如处理器计数、RAM、MAC地址、注册表和滴答计数,以检测沙箱。如果任何检查失败,它会退出进程;否则,它会记录未检测到沙箱。

FOG勒索软件检查沙箱

我们还观察到加密的二进制文件嵌入在加载器的数据部分中,然后使用指定密钥解密,使用图9所示的函数。

加密的二进制文件嵌入在加载器的数据部分

用于解密的指定密钥

日志文件dbgLog.sys

与之前使用的赎金记录相同的赎金记录

使用DOGE相关引用的初始赎金记录

在发现的样本中嵌入的勒索软件有效负载已被验证为FOG勒索软件,并检测为Ransom.Win32.FOG.SMYPEFG。所有发现的变体都携带相同的有效负载,仅在用于解密有效负载的密钥上有所不同。

结论和安全建议

FOG勒索软件是一个相对较新的勒索软件家族,企业必须将其添加到观察列表中。无论我们调查的FOG勒索软件样本的来源和动机如何,无论是原始操作员使用DOGE引用进行戏弄,还是其他参与者将FOG勒索软件嵌入到他们的二进制文件中进行冒充,成功的勒索软件攻击的影响仍可能使企业遭受财务损失和运营中断。

通过监控妥协指标(IoCs)作为主动网络安全防御的一部分,来超越勒索软件威胁。这种方法允许早期检测威胁,增强安全措施,支持取证调查,有效破坏网络犯罪分子的活动。对于研究人员来说,跟踪IoCs提供了有关攻击模式的有价值见解,可以帮助他们开发更有效的威胁预防策略。SOCs应最大化启用和帮助自动化这些任务的工具。

企业还可以实施以下安全最佳实践:

  • 维护所有关键数据的最新、安全备份。定期测试恢复过程,以确保在攻击事件中能够快速恢复数据。
  • 实施网络分段,以限制勒索软件在组织内的传播。通过隔离敏感数据和关键系统,可以防止广泛的损害。
  • 定期更新和修补应用软件、操作系统和其他应用程序,以确保关闭攻击者可能利用的漏洞。
  • 为员工进行定期培训,以识别网络钓鱼尝试和可疑链接。

使用Trend Vision One™进行主动安全

Trend Vision One™是唯一一个AI驱动的企业网络安全平台,集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全结果。凭借数十年的网络安全领导力和Trend Cybertron,行业首个主动网络安全AI,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化他们的态势,并向利益相关者展示持续改进。借助Trend Vision One,您能够消除安全盲点,专注于最重要的事情,并将安全提升为创新的战略合作伙伴。

Trend Vision One威胁情报

为了领先于不断发展的威胁,Trend Vision One客户可以访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络威胁发生之前保持领先,并通过提供有关威胁参与者、其恶意活动及其技术的全面信息,让他们为新兴威胁做好准备。通过利用这种情报,客户可以采取主动步骤保护其环境,减轻风险,并有效应对威胁。

Trend Vision One情报报告应用[IOC扫描]

Fog勒索软件隐藏在“戏弄DOGE”二进制加载器中

Trend Vision One威胁洞察应用

新兴威胁:Fog勒索软件隐藏在戏弄DOGE二进制加载器中

狩猎查询

Trend Vision One搜索应用

Trend Vision One客户可以使用搜索应用将本博客文章中提到的恶意指标与环境中的数据匹配或狩猎。

搜索赎金记录: eventSubId: 101 AND objectFilePath: RANSOMNOTE.txt

搜索文件重命名和在异常目录中投放文件: 检测到的加密文件活动(*.flocked) eventSubId: 109 AND objectFilePath: /.flocked$/

更多狩猎查询可用于已启用威胁洞察授权的Trend Vision One客户。

妥协指标(IoC)

在此处下载IoC列表。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次