网络安全服务商SentinelOne公司的研究部门SentinelLabs发现了一种新型的Linux版IceFire勒索软件,该勒索软件利用IBM公司的Aspera Faspex文件共享软件的一个漏洞。
该漏洞是最近修补的Aspera Faspex漏洞CVE-2022-47986。
到目前为止,SentinelLabs检测到的IceFire恶意软件只针对Windows系统进行攻击,它使用了iFire扩展,这与MalwareHunterTeam(分析和跟踪威胁的独立网络安全研究人员的组织)在今年2月发布的研究报告一致,该报告称IceFire正在将重点转移到Linux企业系统。
与以往攻击科技公司的行为不同,Linux版本的IceFire开始攻击媒体和娱乐公司。
根据SentinelLabs发布的这份报告,网络攻击者的策略与“大型游戏狩猎”(BGH)勒索软件家族一致,包括双重勒索、针对大型企业的攻击、使用大量持久性机制以及删除日志文件等逃避策略。双重勒索发生在网络攻击者窃取数据并加密数据的同时,通常要求支付双倍的赎金。
IceFire Linux变体的特点
IceFire Linux版本是一个2.18MB的64位ELF(可执行和可链接)二进制文件,使用开源GCC(GNU编译器集合)编译,用于AMD 64位系统处理器架构。有效负载也在基于英特尔的Ubuntu和Debian发行版上成功运行。
IceFire Linux版本被人发现部署在运行CentOS的主机上,CentOS是一种开源Linux发行版,运行的是易受攻击的IBM Aspera Faspex文件服务器软件。
利用这一漏洞,系统下载了IceFire有效载荷并执行它们来加密文件,并使用“.ifire”扩展名重命名文件,之后,有效载荷被设计为自行删除以避免检测。
IceFire Linux有效负载的脚本排除了某些系统关键文件和路径的加密,包括以下文件扩展名:.cfg、.o、.sh、.img、.txt、.xml、.jar、.pid、.ini、.pyc、.a、.so、.run、.env、.cache、.xmlb、.p,以及路径/boot、/dev/、/etc、/lib、/proc、/srv、/sys、/usr、/var、/run。
这样做是为了使系统的关键部分没加密并保持运行。
在IceFire Linux变体中观察到的另一种新策略是利用漏洞,而不是传统地通过网络钓鱼消息或通过某些利用后的第三方框架(包括Empire、Metaspoilt、Cobalt Strike)进行传递。
IceFire Payload使用RSA加密和Tor网络
IceFire有效载荷托管在Digital Ocean droplet上,这是一个托管在Digital Ocean云计算平台上的虚拟机,其IP地址为159.65.217.216。SentinelLabs建议对这一IP地址使用通配符,以防参与者转向一个新的交付域。通配符是指在安全策略或配置规则中使用一个通配符来覆盖多个设备。
IceFire有效载荷使用RSA加密算法,将RSA公钥硬编码到二进制文件中。此外,有效载荷从二进制文件中的嵌入式资源中删除勒索通知,并将其写入每个文件加密目标目录。
IceFire赎金请求消息包括一个预定义的用户名和密码,必须用于访问赎金支付网站,该网站托管在Tor隐藏服务上(网站和服务托管在去中心化的Tor网络上,以支持匿名浏览)。
与Windows相比,Linux对勒索软件带来了更多的挑战,这是因为许多Linux系统都是服务器,不太容易受到网络钓鱼或下载驱动等常见感染方法的影响。这就是网络攻击者会利用应用程序中漏洞的原因,IceFire勒索软件组织就是一个例子,该组织利用IBM Aspera漏洞部署其有效载荷。