Các nhà nghiên cứu an ninh mạng đã tiết lộ một chủng ransomware mới có tên là “DarkRadiation“được triển khai hoàn toàn trong Bash và nhắm mục tiêu các vùng chứa đám mây Linux và Docker, trong khi ngân hàng trên dịch vụ nhắn tin Telegram để liên lạc với lệnh và kiểm soát (C2).
“Phần mềm tống tiền được viết bằng Bash tập lệnh và nhắm mục tiêu đến các bản phân phối Red Hat / CentOS và Debian Linux, “các nhà nghiên cứu từ Trend Micro nói trong một báo cáo được công bố vào tuần trước. “Phần mềm độc hại sử dụng thuật toán AES của OpenSSL với chế độ CBC để mã hóa các tệp trong các thư mục khác nhau. Nó cũng sử dụng API của Telegram để gửi trạng thái lây nhiễm đến (các) tác nhân đe dọa.”
Khi viết bài, không có thông tin về các phương thức phân phối hoặc bằng chứng cho thấy ransomware đã được triển khai trong các cuộc tấn công trong thế giới thực.
Phát hiện này đến từ việc phân tích một bộ sưu tập các công cụ tấn công được lưu trữ trên cơ sở hạ tầng của tác nhân đe dọa không xác định (địa chỉ IP “185.141.25.168”) trong một thư mục có tên “api_attack”. Bộ công cụ được người dùng Twitter chú ý đầu tiên @ r3dbU7z vào ngày 28 tháng 5.
Chuỗi lây nhiễm của DarkRadiation liên quan đến quá trình tấn công nhiều giai đoạn và đáng chú ý vì sự phụ thuộc nhiều vào các tập lệnh Bash để truy xuất phần mềm độc hại và mã hóa các tệp cũng như Telegram API để giao tiếp với máy chủ C2 thông qua các khóa API được mã hóa cứng.
 |
| Quy trình mã hóa |
Được cho là đang được phát triển tích cực, ransomware tận dụng các chiến thuật làm xáo trộn để xáo trộn tập lệnh Bash bằng cách sử dụng một công cụ mã nguồn mở có tên “node-bash-obfuscate“để chia mã thành nhiều đoạn, tiếp theo là gán một tên biến cho mỗi đoạn và thay thế tập lệnh gốc bằng các tham chiếu biến.
Khi thực thi, DarkRadiation sẽ kiểm tra xem nó có chạy với tư cách người dùng root hay không và nếu có, sử dụng các quyền nâng cao để tải xuống và cài đặt Quên, Xoănvà OpenSSL thư viện và chụp nhanh định kỳ những người dùng hiện đang đăng nhập vào hệ thống máy tính Unix bằng cách sử dụng lệnh “ai” sau mỗi năm giây, kết quả của chúng sau đó sẽ được chuyển đến máy chủ do kẻ tấn công kiểm soát bằng cách sử dụng Telegram API.
“Nếu bất kỳ công cụ nào trong số này không khả dụng trên thiết bị bị nhiễm, phần mềm độc hại sẽ cố gắng tải xuống các công cụ cần thiết bằng YUM (Yellowdog Updater, Modified), một trình quản lý gói dựa trên python được các bản phân phối Linux phổ biến như RedHat và CentOS,” SentinelOne Các nhà nghiên cứu giải thích trong một bài viết được xuất bản hôm thứ Hai.
Ransomware, trong giai đoạn cuối của quá trình lây nhiễm, truy xuất danh sách tất cả người dùng hiện có trên hệ thống bị xâm nhập, ghi đè mật khẩu người dùng hiện có bằng “megapassword” và xóa tất cả người dùng shell, nhưng không phải trước khi tạo người dùng mới với tên người dùng “ferrum “và mật khẩu” MegPw0rD3 “để tiến hành quá trình mã hóa.
 |
| Chức năng lây lan giống như giun |
Điều thú vị là, phân tích của SentinelOne cho thấy các biến thể khác nhau, trong đó mật khẩu cho người dùng “ferrum” được tải xuống từ máy chủ C2 của kẻ tấn công trong một số phiên bản, trong khi ở một số phiên bản khác, nó được mã hóa cứng bằng các chuỗi như “$ MeGaPass123 #”, ngụ ý rằng phần mềm độc hại đang trải qua thay đổi nhanh chóng trước khi triển khai thực tế.
“Cần phải lưu ý rằng ransomware gắn các ký hiệu phóng xạ (‘.☢’) làm phần mở rộng tệp cho tệp được mã hóa”, nhà nghiên cứu mối đe dọa của Trend Micro, Aliakbar Zahravi cho biết.
Phần di chuyển thứ hai liên quan đến cuộc tấn công là sâu SSH được thiết kế để nhận cấu hình thông tin xác thực dưới dạng tham số mã hóa base64 được sử dụng để kết nối với hệ thống mục tiêu bằng giao thức SSH và cuối cùng tải xuống và thực thi ransomware.
Ngoài việc báo cáo trạng thái thực thi, cùng với khóa mã hóa, quay lại kênh Telegram của đối thủ thông qua API, DarkRadiation cũng đi kèm với khả năng dừng và vô hiệu hóa tất cả các vùng chứa Docker đang chạy trên máy bị nhiễm, sau đó ghi chú tiền chuộc được hiển thị cho người dùng.
Các nhà nghiên cứu của SentinelOne cho biết: “Phần mềm độc hại được viết bằng ngôn ngữ shell script cho phép kẻ tấn công linh hoạt hơn và tránh được một số phương pháp phát hiện phổ biến.
“Vì các tập lệnh không cần phải được biên dịch lại, chúng có thể được lặp lại nhanh hơn. Hơn nữa, vì một số phần mềm bảo mật dựa trên các chữ ký tệp tĩnh, chúng có thể dễ dàng được tránh thông qua lặp lại nhanh chóng và sử dụng các công cụ obfuscator đơn giản để tạo các tập lệnh hoàn toàn khác các tập tin.”
