“駭客”組織仍在積極重新調整其惡意軟體庫

摘要

臭名昭著的TrickBot惡意軟體與一種名為Diavol的新勒索軟體有關聯。

正文

根據Fortinet的FortiGuard實驗室的研究人員，本月初針對其一個客戶的攻擊中，Diavol和Conti勒索軟體的有效載荷（payloads）被部署在不同的系統上。

TrickBot銀行木馬是一種基於Windows的犯罪軟體，在目標網路上採用不同的模組達到惡意行為，包括盜取憑證和進行勒索軟體攻擊。

據信，迄今為止，Diavol已經在被部署在實際環境中。即使不知道入侵來源，但該有效載荷的原始碼與Conti的程式碼有相似之處，甚至其贖金說明文字與Egregor勒索軟體的一些語言重複。

技術

研究人員表示，Diavol使用使用者模式的無對稱加密演算法、非同步程式呼叫（APC）執行。通常情況下，勒索軟體開發者的目標是在最短的時間內完成加密操作。非對稱加密演算法要比對稱演算法慢得多。

該勒索軟體的另一個方面是它依靠一種反分析技術，以點陣圖影象的形式混淆其程式碼，從那裡將例程載入到具有執行許可權的緩衝區。

在鎖定檔案和用贖金資訊改變桌面桌布之前，Diavol還執行其他功能，如在遠端伺服器上註冊受害者裝置，終止執行中的程序，在系統中尋找本地驅動器和檔案進行加密，並透過刪除shadow副本防止恢復。

結論

正如Kryptos Logic威脅情報團隊所詳述的那樣，Wizard Spider勒索軟體發展也與 “TrickBot webinject 模組的新發展 ”相吻合，表明該組織仍在積極重新調整其惡意軟體庫。