勒索病毒
Play 勒索病毒集團散播新的 Linux 變種,專門攻擊 ESXi ,並與 Prolific Puma 駭客集團有關聯
趨勢科技威脅追蹤人員發現 Play 勒索病毒集團一直在散播一個專門攻擊 ESXi 環境的全新 Linux 變種。請繼續往下閱讀來進一步了解。
摘要
- Play 勒索病毒集團慣用雙重勒索手法,現在也推出了專門攻擊 ESXi 環境的 Linux 變種。
- 今年大多數的攻擊都集中在美國。
- 此勒索病毒執行時會先確認自己是否在 ESXi 環境內。VirusTotal 表示它已經有辦法成功躲過資安機制。
- Play 勒索病毒集團似乎正在使用 Prolific Puma 集團販售的服務與基礎架構。
我們的威脅追蹤團隊發現了一個 Play 勒索病毒的 Linux 變種,它只有在 VMWare ESXi 環境內執行時才會出現將檔案加密的行為。Play 勒索病毒集團首次在 2022 年 6 月被發現,因其雙重勒索手法、躲避技巧、客製化工具,並且對拉丁美洲各種機構造成重大衝擊而受到關注。
這是我們第一次觀察到 Play 勒索病毒攻擊 ESXi 環境,這樣的發展顯示該集團有可能正在將攻擊擴大至 Linux 平台,以擄獲更多受害者並提高勒索的成功案例。
VMWare ESXi 環境通常被企業用來執行多個虛擬機器 (VM),這些虛擬機器經常含有一些關鍵的應用程式和資料,並且正常來說會內建整合式備份解決方案。入侵虛擬機器可嚴重打擊企業的營運,甚至是將備份資料加密來讓受害者更難復原資料。
根據送交到 VirusTotal 的樣本顯示,它已能躲避資安機制的偵測。我們在分析時發現,該 Linux 變種是壓縮在一個 RAR 檔案中,跟 Windows 變種在一起,並且存放在以下網址:hxxp://108.[BLOCKED].190/FX300.rar。
此 IP 位址含有 Play 勒索病毒在之前的攻擊中用到的一些工具,包括:PsExec、NetScan、WinSCP、WinRAR 以及 Coroxy 後門程式。
圖 4 顯示此勒索病毒變種的感染程序。儘管目前尚未看到實際的感染案例,但其幕後操縱 (CC) 伺服器上存放了 Play 勒索病毒在目前攻擊中用到的常見工具,所以有可能 Linux 變種也是運用類似的攻擊手法、技巧與程序 (TTP)。
Play 勒索病毒 Linux 變種的感染程序
如同其 Windows 變種一樣,此樣本會接受一些指令列參數,但這些參數的作用目前仍然不明。
Play 勒索病毒 Windows 變種 |
說明 |
Play 勒索病毒 Linux 變種 |
說明 |
-mc |
執行一般的功能,與不指定參數相同。 |
-p |
不明 |
-d <drive path> |
將某個硬碟加密。 |
-f |
不明 |
-ip <shared resource path> <username> <password> |
將網路共用資源加密。 |
-s |
不明 |
-p <path> |
將某個資料夾/檔案加密。 |
-e |
不明 |
表 1:Play 勒索病毒 Windows 與 Linux 變種的指令列參數包含了一些用來加密硬碟、檔案與網路共用資源的指令。
此樣本會先執行 ESXi 相關指令來確定它是在 ESXi 環境內運作,然後才會開始執行惡意行為。否則,就會終止執行並將自己刪除。
我們還發現此樣本若是在 ESXi 環境內,就會執行一系列的腳本指令。以下指令用來掃描並關閉環境內發現的所有虛擬機器 (VM):
/bin/sh -c “for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
以下指令用來設定 ESXi 主機的客製化歡迎訊息:
/bin/sh -c “esxcli system welcomemsg set -m=\"
當勒索病毒執行完一系列的 ESXi 相關指令之後,接著就會將 VM 檔案加密,包括 VM 硬碟、組態設定與 Metadata 檔案。VM 硬碟檔案包含了許多重要的資料,包括應用程式和使用者資料。
當這道程序完成之後,客端作業系統 (例如 ubuntu) 內被加密的檔案,大部分都會附加一個「.PLAY」副檔名。
此外,勒索病毒還會在根目錄中留下一份勒索訊息,該訊息也會顯示在 ESXi 用戶端的登入畫面上。
探討 Prolific Puma 與 Play 勒索病毒集團之間的關聯
透過監控可疑 IP 的外部活動,我們發現存放勒索病毒惡意檔案及工具的網址,與另一個名為「Prolific Puma」的駭客集團有所關聯。
Prolific Puma 已知會使用「隨機目的地產生器演算法」( Random Destination Generator Algorithm,簡稱 RDGA) 來產生網域名稱,並利用這些網域來為其他駭客集團提供短網址服務,讓他們能躲避偵測,散播網路釣魚、詐騙及惡意程式。
目標 |
目標類型 |
指標 |
偵測結果 |
說明 |
108][.]61[.]142[.]190 |
IP 位址 |
hxxp://108 [.]61[.]142[.]190/ FX300.rar |
95 - Ransomware |
存放 Play 勒索病毒二進位檔案的網址。 |
108 [.]61[.]142[.]190 |
IP 位址 |
hxxp://108 [.]61[.]142[.]190/ 1.dll.sa |
79 -Disease Vector |
存放 Coroxy 後門程式的網址。 |
108 [.]61[.]142[.]190 |
IP 位址 |
hxxp://108 [.]61[.]142[.]190/ 64.zip |
79 – Disease Vector |
存放 NetScan 的網址。 |
108 [.]61[.]142[.]190 |
IP 位址 |
hxxp://108 [.]61[.]142[.]190/ winrar-x64-611.exe |
未測試。 |
存放 WinRAR 的網址。 |
108 [.]61[.]142[.]190 |
IP 位址 |
hxxp://108 [.]61[.]142[.]190/ PsExec.exe |
未測試。 |
存放 PsExec 的網址。 |
108 [.]61[.]142[.]190 |
IP 位址 |
hxxp://108 [.]61[.]142[.]190/ host1.sa |
78 - Malware Accomplice |
存放 Coroxy 後門程式的網址。 |
表 2:Play 勒索病毒的多個種工具對應到多個 IP 位址。
目標 |
目標類型 |
指標 |
指標類型 |
註冊機構 |
108 [.]61[.]142[.]190 |
IP 位址 |
ztqs[.]info |
網域 (RDGA) |
Porkbun, LLC |
108 [.]61[.]142[.]190 |
IP 位址 |
zfrb[.]info |
網域 (RDGA) |
Porkbun, LLC |
108 [.]61[.]142[.]190 |
IP 位址 |
xzdw[.]info |
網域 (RDGA) |
Porkbun, LLC |
108 [.]61[.]142[.]190 |
IP 位址 |
iing[.]info |
網域 (RDGA) |
Porkbun, LLC |
108 [.]61[.]142[.]190 |
IP 位址 |
mcmb[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
lcmr[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
thfq[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
hibh[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
iwqe[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
ukwc[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
apkh[.]info |
網域 (RDGA) |
NameCheap, Inc |
108 [.]61[.]142[.]190 |
IP 位址 |
vqbl[.]info |
網域 (RDGA) |
NameSilo, LLC |
108 [.]61[.]142[.]190 |
IP 位址 |
vgkb[.]info |
網域 (RDGA) |
NameSilo, LLC |
108 [.]61[.]142[.]190 |
IP 位址 |
znuc[.]info |
網域 (RDGA) |
NameSilo, LLC |
表 3:存放 Play 勒索病毒的 IP 位址對應到多個不同網域。
表 2 及表 3 顯示的一些網域 (尤其是 DGA) 可對應至 Play 勒索病毒工具套件所在的 IP 位址,這些網域分散在多個不同的註冊機構之下。我們的研究顯示 Prolific Puma 通常會在其註冊的網域名稱當中使用 3 至 4 個隨機字元。表中 Prolific Puma 註冊的網域樣本與 Play 勒索病毒相關的 IP 位址吻合。
此外,該訊息也顯示,當存取其中的一個網域時,也會指向其他資安研究人員提到的網域。
為了進一步驗證這兩個集團之間的關聯,我們團隊甚至還測試了同一個 IP 位址上存放的 Coroxy 後門程式。根據黑盒子測試分析顯示,Coroxy 後門程式會連上45[.]76[.]165[.]129 這個 IP 位址,該位址也對應到多個與 Prolific Puma 相關的網域。
目標 |
目標類型 |
指標 |
指標類型 |
註冊機構 |
45[.]76[.]165[.]129 |
IP 位址 |
jhrd[.]me |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
pkil[.]me |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
kwfw[.]me |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
whry[.]me |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
pxkt[.]me |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
ylvq[.]me |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.]129 |
IP 位址 |
flbe[.]link |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.]129 |
IP 位址 |
mmhp[.]link |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
gunq[.]link |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
ojry[.]link |
網域 (RDGA) |
NameSilo, LLC |
45 [.]76[.]165[.] 129 |
IP 位址 |
bltr[.]me |
網域 (RDGA) |
NameSilo, LLC |
表 4:不同網域皆對應到 Coroxy 後門程式連線的 IP 位址。
Coroxy 後門程式連線的位址也對應到 Prolific Puma 註冊的不同網域。進一步檢視此 IP 位址時會發現它後面會被加上了「vultrusercontent.com」,而這也跟其原本的 IP 吻合,如圖 17 所示。
比較存放 Play 勒索病毒與工具的 IP 位址和另一個與 Prolific Puma 相關的位址就會看到兩個 IP 位址的「自治系統編號」(Autonomous System Number,簡稱 ASN) 是相同的。這意味著兩個位址同屬於一個網路底下,而且由同一個網路供應商所管理。
Prolific Puma 在挑選客戶時相當挑剔,只挑選他們覺得有資格使用其服務的個人或團體。有鑑於 Play 勒索病毒集團所建立的名聲,Play 集團或許已獲得 Prolific Puma 的認可,能使用他們的服務。這樣的發現顯示兩個集團之間可能存在著合作關係,Play 勒索病毒集團或許也希望透過 Prolific Puma 的服務來獲得可強化其躲避資安防禦的能力。
如何防範 ESXi 環境的勒索病毒攻擊
ESXi 環境對勒索病毒攻擊來說是高價值的目標,因為這類環境經常在企業營運當中扮演關鍵角色。能夠一次同時加密多個 VM 以及 VM 上的珍貴資料,將為駭客集團帶來更豐厚的利潤。為了降低風險並避免暴露於這類攻擊,企業應落實以下最佳實務原則:
- 定期修補與更新:讓 ESXi 環境與相關管理軟體隨時保持更新來防範已知的漏洞。
- 虛擬修補:很多企業都沒辦法經常修補或更新其 ESXi 環境,因為這牽涉到許多因素,包括:複雜性、停機顧慮、資源吃緊、營運考量,或者相容性問題。虛擬修補可在網路層次套用資安防護來保護含有漏洞的系統,既能防範風險、又不需要立即變更相關的軟體。
- 解決天生的組態設定問題:定期檢查和修正 ESXi 環境內的組態設定問題,因為這些正是勒索病毒可能利用的弱點。建置強大的組態設定管理實務,有助於確保設定隨時符合最佳實務原則,進而降低被攻擊的風險。
- 嚴格的存取控管:建立嚴格的認證與授權機制,例如多重認證 (MFA),並限制系統管理權限的存取。
- 網路分割:將關鍵的系統與網路分開,藉此阻礙勒索病毒的擴散。
- 縮小攻擊面:停用非必要或沒用到的服務與通訊協定,限制管理介面的存取,並且實施嚴格的防火牆規則來避免網路暴露在外。VMWare 提供了各種保護 ESXi 環境的指引與最佳實務原則。
- 定期離線備份:經常備份所有關鍵資料並小心保管備份,確定備份資料離線保存並定期測試其完整性。
- 資安監控與事件回應:部署解決方案並擬定一套回應計畫,以便在遇到可疑活動時能迅速主動處理。
Trend Vision One 追蹤查詢
以下是您可在 Vision One 當中追蹤威脅的實用查詢:
- malName:*Linux.PLAYDE* AND eventName:MALWARE_DETECTION
入侵指標 (IoC)
IoC |
偵測結果 |
說明: |
2a5e003764180eb3531443946d2f3c80ffcb2c30 |
Ransom.Linux.PLAYDE.YXEE3T |
ELF 二進位檔案。 |
hxxp://108.61.142[.]190/FX300.rar |
95 - Ransomware
|
存放 Play 勒索病毒二進位檔案的網址。 |
108.61.142[.]190 |
未測試。 |
觀察到的 IP 位址。 |
hxxp://108.61.142[.]190/1.dll.sa |
79 - Disease Vector |
存放 Coroxy 後門程式的網址。 |
hxxp://108.61.142[.]190/64.zip |
79 - Disease Vector |
存放 NetScan 的網址。 |
hxxp://108.61.142[.]190/winrar-x64-611.exe |
未測試。 |
存放 WinRAR 的網址。 |
hxxp://108.61.142[.]190/PsExec.exe |
未測試。 |
存放 PsExec 的網址。 |
hxxp://108.61.142[.]190/host1.sa |
78 - Malware Accomplice |
存放 Coroxy 後門程式的網址。 |
相關的 MITRE ATT&CK 手法與技巧
手法 |
技巧 |
編號 |
躲避防禦 |
檔案刪除 |
T1070.004 |
搜尋 |
網路服務搜尋 |
T1046 |
檔案與目錄搜尋 |
T1083 |
|
執行 |
指令與腳本解譯器:Unix 指令列介面程式 |
T1059.004 |
橫向移動 |
橫向工具傳輸 |
T1570 |
幕後操縱 |
動態解析:網域產生演算法 (DGA) |
T1568.002 |
對內傳輸工具 |
T1105 |
|
資料外傳 |
經由幕後操縱 (CC) 管道將資料外傳 |
T1041 |
造成衝擊 |
將資料加密造成衝擊 |
T1486 |
破壞門面:對內門面遭破壞 |
T1491.001 |
|
服務停止 |
T1489 |