Trigona 勒索软件攻击使用定制的 exfiltration tool 窃取数据
Source: Bleeping Computer
Overview
最近观察到的 Trigona 勒索软件攻击使用了一款自定义的命令行工具,以更快、更高效地从受感染环境中窃取数据。该工具在三月份的攻击中被使用,攻击归因于一个帮派关联方,可能是为了避免使用公开可得的工具(如 Rclone 和 MegaSync),这些工具通常会触发安全防护。
Symantec 的研究人员认为,转向自定义工具可能表明攻击者“在专有恶意软件上投入时间和精力,以在攻击关键阶段保持更低的可见度”。
Trigona 勒索软件于 2022 年 10 月发布,是一种双重敲诈操作,勒索以 Monero 支付。尽管乌克兰网络活动家在 2023 年 10 月破坏了 Trigona 行动,黑客其服务器并窃取了内部数据(如源代码和数据库记录),Symantec 的报告表明威胁行为者已恢复运营。
Custom Exfiltration Tool
该工具名为 uploader_client.exe,连接到硬编码的服务器地址,并具备多项性能和规避功能:
- 支持每个文件的五条并行连接,以通过并行上传实现更快的数据外泄。
- 在 2 GB 流量后轮换 TCP 连接,以规避监控。
- 可选择性地外泄特定文件类型,排除大型低价值的媒体文件。
- 使用身份验证密钥限制外部人员访问被窃取的数据。
在一次事件中,外泄工具被用于窃取网络驱动器上的高价值文档,如发票和 PDF 文件。
Threat Actor Tactics
Symantec 对近期 Trigona 攻击的观察揭示了一个多阶段的攻击流程:
-
安装华容网络安全套件 (HRSword) 作为内核驱动服务。
-
部署额外工具,这些工具能够禁用安全相关产品,包括:
- PCHunter
- Gmer
- YDark
- WKTools
- DumpGuard
- StpProcessMonitorByovd
其中许多利用易受攻击的内核驱动来终止终端防护进程。(Symantec source)
-
特权提升,使用 PowerRun 以提升的权限启动应用程序、可执行文件和脚本,绕过用户模式防护。
-
远程访问,通过 AnyDesk 直接控制被入侵的系统。
-
凭证窃取,使用 Mimikatz 和 Nirsoft 实用工具进行密码恢复操作。
Indicators of Compromise
Symantec 在其报告的底部列出了与最新 Trigona 活动相关的妥协指示器 (IoCs)。安全团队应参考这些 IoC,以实现对这些攻击的及时检测和阻断。