wechatimg120612

Magnitude 漏洞开发工具包卷土重现,新添勒索软件功能针对韩国用户展开攻击

  • 浏览次数 4913
  • 喜欢 0
  • 评分 12345

HackerNews.cc 10 月 8 日消息,Magnitude 漏洞开发工具包(EK)在过去的发展规模中一直引人注目并被网络犯罪分子用于亚洲多个国家肆意传播。奇怪的是,该漏洞开发工具包于今年 9 月下旬突然消失,起初研究人员以为这仅仅是 EK 研发失败的情景,但就在近期,该工具包重新出现并新添有效负载–勒索软件 Magniber。

Magnitude 漏洞开发工具包最早可追溯至 2013 年,其主要包含诸如加密类的勒索软件。调查显示,攻击者利用该漏洞开发工具包过滤客户 IP 地址与系统语言的地理位置后传递有效负载。这是一种网络犯罪分子常用的主要技术工具,旨在规避研究人员检测。目前,该工具包只通过漏洞(2016-2016-0189)检索执行有效负载。

据悉,Magniber 是一款针对性较强的勒索软件,可通过多个级别(外部 IP、安装语言等)检测目标系统,以确保受攻击设备仅为韩国用户。此外,勒索软件 Magniber 由 Magnitude 漏洞开发工具包进行分配。

magnitude_to_magniber

调查显示,勒索软件 Magniber 仅在检测到韩语的系统上才会开始恶意操作,如果恶意软件于非韩系统执行,其研究人员唯一能看到的操作就是通过其运行 ping 命令删除自身程序。

2

一旦入侵韩国系统,其恶意软件将以 %TEMP% 方式复制设备机密数据,并在任务调度程序的帮助下部署自身。

temp_files-1-1

据悉,研究人员在系统的多个文件夹中除了发现同一勒索赎金信函外,还检测到另一文档,它的名称与为特定用户生成的域名相同、扩展名与加密文件的扩展名相同。此外,每份加密文件都添加了同一个由拉丁文字符组成的扩展名,并且对于特定的 Magniber 样本来说固定不变,这意味着每份文件都使用完全相同的密钥进行加密。

encrypted_files
研究人员表示,受害者的页面只显示英文。虽然它的模板与此前勒索软件 Cerber 使用的模板极其相似,但内部完全不同。此外,Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的帮助下执行与传播。

victim_page

目前,虽然攻击者正积极瞄准韩国用户分发勒索软件 Magniber,但研究人员尚不清楚幕后黑手真正意图。对此,他们将持续跟进此次事件并提醒各用户加强防御体系,以抵御大规模攻击事件的发生。

附:Malwarebytes Labs 原文报告《 勒索软件 Magniber:仅感染传播韩国用户

稿源:Malwarebytes Labs ,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot