Образец вымогателя Diavol показывает более сильную связь с TrickBot

33
Хакеры сканируют цели VMware CVE-2021-22005

Новый анализ образца вымогателя Diavol показывает более четкую связь с бандой, стоящей за ботнетом TrickBot, и эволюцией вредоносного ПО.

Недавнее исследование – второе, которое находит точки соприкосновения в коде двух угроз, связывая их с одним и тем же субъектом.

Ранний образец имеет подсказки

Предыдущий анализ программы-вымогателя Diavol (румынский для дьявола), проведенный лабораторией Fortinet FortiGuard Labs, выявил ряд сходств с вредоносным ПО TrickBot, а также различия, которые не позволили установить достоверную атрибуцию кода.

В оценке Fortinet в начале июля было отмечено, что и Diavol, и Conti – семейство программ-вымогателей, тесно связанных с TrickBot, – использовали одни и те же параметры командной строки для различных задач (протоколирование, шифрование, сканирование).

Отчет аналитиков угроз IBM X-Force Шарлотты Хаммонд и Криса Кариди дает подсказки, указывающие на более сильную связь между программой-вымогателем Diavol и бандой TrickBot.

В отличие от образца, проанализированного Fortinet, который был более новым, «полностью функциональным и оснащенным оружием вымогателем», тот, который исследовал IBM, представляет собой более старый вариант, более близкий к разрабатываемой версии, используемой для целей тестирования.

Неполное состояние вредоносной программы содержало признаки, которые позволили исследователям сделать более надежный вывод.

IBM X-Force изучила образец, отправленный в Virus Total 27 января 2021 года, с заявленной датой компиляции 5 марта 2020 года. Для сравнения, дата компиляции версии в анализе Fortinet – 30 апреля 2021 года.

Исследователи заметили, что программа-вымогатель Diavol собирала основную информацию из зараженной системы и генерировала идентификатор системы или бота, который помогает злоумышленнику отслеживать множественные вторжения со стороны филиалов в операции «программа-вымогатель как услуга» (RaaS).

Формат идентификатора бота программы-вымогателя Diavol включает имя хоста, имя пользователя и версию Windows скомпрометированной системы, а также глобальный уникальный идентификатор (GUID). Аналитики отмечают, что формат «практически идентичен» формату, создаваемому вредоносной программой TrickBot.

[hostname]-[username]_W[windows _version].[guid]

Очень похожий шаблон идентификатора бота был замечен с Anchor DNS , еще одним вредоносным ПО, приписываемым банде TrickBot, говорят исследователи в своем отчете.

Идентификаторы жертвы важны для операторов вредоносных программ, поскольку они могут отслеживать успех различных кампаний и сообщать об этом аффилированным лицам.

«Вот почему эти конкретные соглашения о форматировании и именовании потенциально могут указывать на группу, ответственную за первоначальное развертывание» – IBM X-Force

Исследователи также отмечают, что HTTP-заголовки для взаимодействия с сервером управления и контроля (C2) были «настроены так, чтобы отдавать предпочтение русскоязычному контенту», что также одобряется операторами TrickBot.

Еще одна подсказка, указывающая на российских злоумышленников, – это код для проверки языка скомпрометированной системы для фильтрации жертв в России или в регионе Содружества Независимых Государств (СНГ).

Хотя Fortinet не обнаружила этот код проверки языка в проанализированном образце вымогателя Diavol, IBM заявляет, что в разрабатываемой версии обнаружены признаки того, что такой код «мог присутствовать или предназначаться для разработки, даже если он не был активирован в скомпилированной версии».

«Список четырехсимвольных шестнадцатеричных строк был идентифицирован в образце разработки. Эти строки не используются в скомпилированном коде, но были признаны потенциально идентификаторами языкового кода, и дальнейший анализ подтвердил, что все они относятся к русскому языку и языкам Содружества Независимых Государств»- IBM X-Force

Учитывая разные стадии разработки двух вариантов вымогателя Diavol и время их обнаружения, становится ясно, что вредоносное ПО развивается.

IBM X-Force не нашла убедительных доказательств связи программы-вымогателя Diavol с бандой TrickBot, но обнаружила новые признаки, указывающие на связь.

Но между их отчетом и выводом Fortinet о том, что вредоносное ПО функционирует так же, как Conti, баланс атрибуции, похоже, заметно смещается в сторону TrickBot.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here