圖片來源: 

katielwhite91

資安業者Fortinet在7月初揭露名為的Diavol勒索軟體體, 並基於與Conti有許多共通的特性,認為Diavol可能是出自駭客組織「Wizard Spider」,也就是製作、經營Trickbot殭屍網路的駭客組織。

對於這個勒索軟體的研究,在一個多月後出現新的進展:IBM X-Force威脅情報研究團隊指出,他們找到了Diavol的早期開發版本並進行研究,根據程式碼的編排方式來判斷,這款勒索軟體應該就是來自Wizard Spider。

加密檔案手法存在顯著差異

原本IBM進行研究的動機,是想要針對Fortinet發現的Diavol進一步分析,但他們找到了另一款Diavol勒索軟體的檔案,與先前被Fortinet發現的勒索軟體存在許多相似之處,當中最主要的差別,是IBM找到的版本仍處於開發階段,看起來是駭客用來測試的檔案,而不像Fortinet找到的檔案,已經是具備完整功能的勒索軟體。

這兩個版本的Diavol編譯時間存在明顯的出入,IBM指出,Fortinet發現的版本於2021年4月30日編譯,但他們找到的是在2020年3月5日製作。此外,這個開發版本的檔案,在2021年1月27日被上傳到惡意軟體分析平臺VirusTotal,檔案名稱為malware.exe。

再者,針對加密檔案的方式,開發版本的Diavol與後繼版本也有所不同──開發版本採用RSA演算法,攻擊者可設置需要優先加密的檔案類型,並且能終止指定的處理程序或是服務,以免加密檔案的過程遭到中斷。相較之下,先前被揭露的版本採用了非同步程序呼叫(Asynchronous Procedure Calls,APC),取代許多勒索軟體使用的對稱式加密機制。

此外,由於是開發版本,研究人員表示,他們執行Diavol的過程中,雖然會將檔案加密,但不會刪除原始檔案,如果被拿來用於攻擊行動,受害者根本不會支付贖金。

開發版本保有駭客組織工具的共通特性

而為何會IBM認為Diavol出自Wizard Spider?該公司提出兩項發現。首先,針對Diavol執行的過程中,該勒索軟體會結合收集到的受害電腦資訊,產生一組Bot ID,以便攻擊者進行追蹤,這組。而IBM發現,這組Bot ID的格式,與TrickBot惡意軟體幾乎相同,僅增加了使用者名稱(username)的部分,而這樣的格式,特徵也與Wizard Spider另一款惡意軟體Anchor DNS相似。

另一項與Wizard Spider有關的證據,則是與駭客偏好的語言有關。研究人員指出,在Diavol開發版與C2伺服器通訊的HTTP標頭中,設置偏好以俄語呈現內容,而操作TrickBot的駭客也慣用俄文。

而與語言相關的線索,還有開發版本Diavol具備檢查受害電腦作業系統語言的機制,一旦發現是位於俄羅斯,或是獨立國家國協(Commonwealth of Independent States)的電腦,就不會發動攻擊。


熱門新聞

Advertisement