勒索软件 MortalKombat 与 Laplas Clipper 相互勾结

安全
自从 2022 年 12 月来,研究人员观察到一个身份不明的攻击者通过 MortalKombat 勒索软件和 Laplas Clipper 恶意软件来窃取加密货币。

自从 2022 年 12 月来,研究人员观察到一个身份不明的攻击者通过 MortalKombat 勒索软件和 Laplas Clipper 恶意软件来窃取加密货币。

攻击链

攻击从钓鱼邮件开始,多阶段逐步投递勒索软件或者恶意软件。电子邮件附件 ZIP 文件中包含 BAT 脚本,下载另一个压缩文件就会释放 Laplas Clipper 恶意软件的 Go 变种或是 MortalKombat 勒索软件。

image.png-371.3kB

攻击链

恶意邮件

攻击者在钓鱼邮件中冒充合法的全球加密货币支付提供商 CoinPayments,邮件主题为 CoinPayments.net Payment Timed Out且发件人为 noreply[at]CoinPayments.net。恶意 ZIP 文件中附带了邮件正文中提到的交易 ID,引诱收件人解压压缩文件查看文件内容。

image.png-130.9kB

钓鱼邮件

BAT 脚本

BAT 脚本使用无文件攻击从攻击者控制的下载服务器下载恶意 ZIP 文件,释放名为 file.pdf.exe的恶意可执行文件。BAT 脚本会使用 Windows 命令启动释放的恶意软件,并删除下载的 ZIP 文件与载荷。

image.png-458.5kB

下载并执行 MortalKombat 勒索软件

image.png-417.1kB

下载并执行 Laplas Clipper 恶意软件

获取加密货币收益

MortalKombat 勒索软件

MortalKombat 是一种新型勒索软件,于 2023 年 1 月首次被发现。MortalKombat 会加密失陷主机上的各种文件,例如系统文件、应用程序、数据库、备份和虚拟机文件,以及映射为失陷主机逻辑驱动器的远程文件。尽管 MortalKombat 并没有删除卷影副本,但还是会从 Windows 启动中删除应用程序与文件夹并禁止在失陷主机上运行命令。

image.png-653.8kB

勒索信息与壁纸

攻击者使用 qTOX 与受害者进行通信,其 ID 为 DA639EF141F3E3C35EA62FF284200C29FA2E7E597EF150FDD526F9891CED372CBB9AB7B8BEC8。此外,还提供了电子邮件地址 hack3dlikeapro[at]proton[.]me作为代替。

Laplas Clipper 窃密木马

Laplas Clipper 是 2022 年 11 月首次发现的窃密木马,其属于 Clipper 恶意软件家族。Laplas Clipper 会使用正则表达式来监控失陷主机的剪贴板,将钱包地址发送给攻击者。攻击者将一个相似的钱包地址覆盖到失陷主机的剪贴板上,进行欺诈交易。

image.png-78.3kB

购买 Laplas Clipper

Laplas Clipper 的开发人员正在积极开发新变种。2022 年 12 月 20 日,开发人员在 Telegram 频道中宣布 C++ 编写的新变种面世并以 EXE 和 DLL 的形式提供。

image.png-89.6kB

开发者公告

攻击基础设施

研究人员发现一个波兰的 IP 地址 193[.]169[.]255[.]78 登录攻击者控制的服务器,以下载 MortalKombat 勒索软件。同时,该 IP 地址还在全网扫描 3389 端口的 RDP 服务。

另一个 IP 地址 144[.]76[.]136[.]153 从关联的 transfer[.]sh 服务器下载 Laplas Clipper,攻击中使用的 Laplas Clipper 与绑定在 clipper[.]guru 的 Clipper 进行通信。

MortalKombat 勒索软件技术分析

MortalKombat 勒索软件是一个 32 位 Windows 可执行文件,会使用随机文件名将自身复制到本地用户配置文件的应用程序临时文件夹中,分析时的名为 E7OKC9s3llhAD13.exe。

MortalKombat 将创建时间修改为 Wednesday, September 7, 2022, 8:06:35 PM,但尚不能确定硬编码时间的意义。

image.png-387.4kB

目标扩展名

勒索软件通过创建名为 Alcmeter 的注册表项,并在本地用户配置文件的应用程序临时文件夹中添加勒索软件可执行文件的路径来进行持久化。

image.png-93.6kB

创建的注册表键值对

MortalKombat 检查所有文件,根据扩展名列表来进行匹配。匹配成功,加密文件的扩展名即为 ..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware。同时,每个文件夹中都会创建赎金勒索文件 HOW TO DECRYPT FILES.txt。

image.png-483kB

失陷主机的回收站

最后,勒索软会删除应用程序与文件夹,清除相关痕迹。

image.png-40.7kB

删除函数

MortalKombat 是 Xorist 家族的一部分

经过分析,MortalKombat 与 Xorist 存在许多相似之处。Xorist 首次出现在 2010 年,并且以定制多变著称。

image.png-249.5kB

变种进化时间线

研究人员发现了泄露的 Xorist 构建工具,使用该工具可以生成勒索软件可执行文件,攻击者可以进行定制化。

image.png-130.4kB

构建工具

MortalKombat 文件与 Xorist 变种及其构建工具生成的可执行文件存在许多相似之处。

image.png-1096.3kB

相似之处

研究人员十分确认 MortalKombat 勒索软件属于 Xorist 家族。

image.png-290.2kB

相似之处

Laplas Clipper 技术分析

Clipper 在解码经过 base64 编码的字符串后,再使用密钥 \x3F 异或解密获取其他内容。

image.png-101kB

解密函数

部分字符串解密如下所示:

image.png-44kB

字符串解密

Clipper 下发的匹配加密货币钱包地址的正则表达式如下所示:

image.png-78.4kB

匹配的加密钱包

研究人员创建了两个虚拟以太坊钱包,Clipper 将虚拟钱包地址发送给攻击者,同时收到了与原始钱包地址相似的钱包地址。

image.png-178kB

复制钱包地址

攻击者返回的钱包地址是有效的,状态如下所示:

image.png-126.9kB

钱包详细信息

受害者分布

研究人员发现,攻击的受害者主要位于美国、英国、土耳其与菲律宾,其他国家收影响较少。


全球受害者分布情况

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-10-17 10:11:18

2016-03-30 11:54:20

2022-01-20 15:01:16

网络安全勒索软件技术

2023-08-03 15:06:57

2015-09-18 09:34:16

2022-06-13 11:57:03

移动攻击勒索软件恶意软件

2016-08-23 14:26:23

2016-10-19 16:37:05

2019-04-09 09:06:36

2021-03-02 10:17:09

勒索软件Nefilimr网络安全

2022-02-25 09:58:37

勒索软件赎金

2021-08-06 17:14:52

勒索软件攻击数据泄露

2022-06-10 12:00:40

Trellix勒索软件

2021-12-31 10:19:50

勒索软件恶意软件安全

2020-12-07 11:11:21

勒索软件漏洞网络攻击

2022-05-24 10:28:48

勒索软件漏洞网络攻击

2021-08-06 12:06:06

勒索软件

2021-07-30 15:28:36

勒索软件攻击数据泄露

2023-03-02 07:29:35

2021-06-29 13:50:19

NIST勒索软件网络安全
点赞
收藏

51CTO技术栈公众号