Good Day 勒索软件是 ARCrypter 家族中的一个变体,于 2023 年 5 月首次在野外观察到。2023 年 6 月至 8 月期间,我们观察到 Good Day 勒索软件活动有所增加,并且公开的新勒索字条样本激增恶意软件存储库。这波新的 Good Day 攻击针对每个目标都有一个基于 TOR 的受害者门户。
在这篇文章中,我们将详细介绍几个独特的 Good Day 勒索信息和受害者门户,并分享我们对与通向已知 Cloak 勒索网站的 URL 相关的样本的分析。通过将这些最近的 Good Day 活动与 Cloak 网站上列出的受害者联系起来,我们可以通过该组织基于 TOR 的受害者门户上公开可见的聊天,将 Cloak 数据销售和泄露与 Good Day 关联起来。
这种联系的发现有助于我们绘制现有和新漏洞与威胁行为者之间不断动态的关系。我们将这些活动部件联系得越多,安全从业人员就越有机会降低组织内的风险。
Good Day 受害者门户链接到Cloak勒索网站
2023 年 7 月和 8 月,我们观察到多个新的基于 TOR 的 URL 正在上演供 Good Day 组织使用。每个门户都针对相应的攻击和特定的受害者。同样,每个 Good Day 有效负载都指向一个特定的受害者门户。
Good Day (ARCrypter) 受害者按照勒索字条中提供的说明并打开与加密其设备的有效负载相关的门户时,会收到“Good Day”欢迎消息。
标准 Good Day 受害者门户
Cyble之前的研究已经揭示了一些门户网站。然而,对一系列新赎金单的分析显示,Cloak勒索博客网站上也列出了Good Day受害者。
特别是,我们发现了一系列赎金单,其中都包括电子邮件地址MikLYmAklY555[@]cock[.]li,这也曾出现在AstraLocker的活动中。
2023 年 8 月看到的 Good Day 勒索信示例
截至撰写本文时,Good Day 门户上的受害者聊天内容仍可公开访问。在这些可公开访问的聊天中,我们可以看到威胁行为者向受害者传达数据。
在示例中d5fba798bb2a0aaca17f17fa14f2ff240be8d34d(相关的勒索信息:)7cf3b23cdb8c5fd74b094f76eb4ffc38e18bd58a,威胁行为者传达了他们打算泄露受害者数据的博客的 URL,结果是 Cloak 博客网站的 URL。他们还提到了可以在 Cloak 博客网站上找到的具体公司名称。
Cloak 泄露网站首次出现于 2023 年 8 月,目前列出了 23 名受害者。其中许多受害者被标记为“已出售”,并且目前无法在表面上访问他们各自的数据。
Cloak受害者博客
Cloak 博客上列出的个人受害者
我们的分析表明,Good Day 勒索软件受害者正面临数据被泄露或在 Cloak 网站上出售的威胁。目前网站上出现的令人畏惧的“被出售”受害者公司名单进一步放大了这种恐吓策略。威胁行为者利用这种恐吓策略和其他恐吓策略来强迫受害者支付赎金。
关于目标,我们还注意到,Cloak 泄露网站上列出的受害者表明了一定程度的地理重点。主要目标国家是德国、意大利、台湾和法国。
Good Day 勒索软件样本分析
在示例中d5fba798bb2a0aaca17f17fa14f2ff240be8d34d,赎金指令指向基于 TOR 的受害者门户:
47h4pwve4scndaneljfnxdhzoulgsyfzbgayyonbwztfz74gsdprz5qd[.]onion该示例伪装成 Microsoft Windows Update 可执行文件 ( WindowsUpdate.exe)。该勒索软件旨在通过植入程序或脚本启动,使其与过去的 ARCrypter 活动保持一致。/START完全启动勒索软件需要该参数。
Good Day 伪装成合法的 Microsoft 实用程序
我们期望在 ARCrypter 系列中看到的标识字符串在此示例中也可见。
ARCrypt 的“告诉”字符串
此特定负载会发出用户访问控制 (UAC) 提示,以便在启动时提升权限。
勒索软件负载中的 UAC 提示
一旦运行,恶意软件将尝试枚举所有本地卷进行加密。这包括使用wNetOpenEnum来识别可用份额。此外,恶意软件还会枚举所有正在运行的进程。
Good Day 中的成交量枚举
勒索软件尝试使用以下命令删除卷影副本 (VSS):
vssadmin.exe delete shadows /all /quiet
Good Day中的卷影复制 (VSS) 删除
受影响的文件将在加密后使用.crYptA或扩展名进行重命名。.crYptB此模式可以扩展到.crYptE与扩展名中的最后一个字母串联的字母表。
扩展名为.crYptA的加密文件
然后,Good Day 勒索软件通过以下隐藏命令延迟有效负载的执行:
¬/c TIMEOUT /T 2>NUL&START /b "" cmd /c DEL "C:Windowsexplorer.exe" &DEL "WindowsUpdate.exe.exe" &EXIT
调用timeout.exe的故事情节视图(延迟执行/逃避)
勒索软件还尝试确定它是否在特定的调试器中运行。搜索列表包括S-Ice.exe、ImmunityDebugger.exe、x64dbg.exe等。
Good Day 调试器搜索列表
该恶意软件包含要从加密中排除的文件夹和文件的硬编码列表。
Good Day 排除项列表
结论
随着我们继续研究日益增长的威胁行为者网络,追踪勒索集团的投入和产出是难题的重要组成部分。能够在不直接显现的地方将碎片绑在一起总是有帮助的。
通过观察赎金笔记中的URL和受害者博客网站的现有结构,我们能够牢固地确定Good Day和Cloak泄漏网站之间的联系性质。Good Day的最新有效载荷尚未建立在其ARCryptor根上,但我们将继续监测该组及其有效载荷。
Indicators of Compromise
有效负载
d5fba798bb2a0aaca17f17fa14f2ff240be8d34d赎金票据
7cf3b23cdb8c5fd74b094f76eb4ffc38e18bd58a
7ef712604fca6ad5a368745a015354aba74f5f61
a3ff2d575adc8edb088706e1de1a18a2d789cd73
c374252e4cff08e3abcda06503998cd3d3ef8322URLs
cloak7jpvcb73rtx2ff7kaw2kholu7bdiivxpzbhlny4ybz75dpxckqd[.]onion
dcpuyivlbzx56hqwsvey33bxobxw3timjgljjy3index6qvdls5bjoad[.]onion
wwwieqvblhnel7wsb6jpxeen3dbmsqyozj2gzl2oyn6swrkq27jtusqd[.]onion
47h4pwve4scndaneljfnxdhzoulgsyfzbgayyonbwztfz74gsdprz5qd[.]onion
zxzs677rphmjznqgqzlsmjtqwqlydq47rwjesrt4dkkh6cc2ftlfhuqd[.]onion转载来源:https://phxtechsol.com/2023/08/30/threat-actor-interplay-good-days-victim-portals-and-their-ties-to-cloak/
图片来源网络侵权可联系删除
