Четверг , Декабрь 12 2019
Домой >> Новости >> Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Рекомендуем почитать:

Xakep #246. Учиться, учиться, учиться!

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты Intezer и IBM X-Force изучили шифровальщика PureLocker, который написан на PureBasic и способен атаковать Windows, Linux и macOS. Интересно, что операторы малвари, похоже, пользовались услугами того же MaaS-провайдера, что и хак-группы Cobalt и FIN6.

PureLocker оставлялся незамеченным на протяжении нескольких месяцев, так как авторы малвари различными способами уклонялись от внимания исследователей. К примеру, образец для Windows маскировался под криптографическую библиотеку C++ под названием Crypto++, и использовал функции, обычно встречающиеся в библиотеках для воспроизведения музыки. В итоге малварь оставалась незамеченной антивирусными решениями на VirusTotal в течение нескольких недель. Кроме того, PureLocker не проявляет вредоносное и подозрительное поведение, если работает в песочнице или отладочном окружении. Более того, в таком случае пейлоад вообще удаляется после выполнения.

Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Если говорить о шифровании файлов, здесь PureLocker мало отличается от других вымогателей, хотя и стремиться заразить не максимальное количество жертв, а используется для скрытных, направленных атак. Он меняет расширение файлов на .CR1 и использует алгоритмы AES и RSA, не оставляя жертвам возможности восстановления данных, удаляя теневые копии. Вредонос не блокирует все файлы в скомпрометированной системе, избегая исполняемых файлов.

Изучив малварь более  детально, эксперты заметили кое-что интересное: вредонос, конечно, не имеет никакого отношения к Crypto++, и хотя по большей части он оказался уникальным, в нем также был замечен код, присущий другим семействам малвари, в основном связанным с хак-группой Cobalt.

Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Как оказалось, PureLocker использует в работе бэкдор More_Eggs, который продается в даркнете и также известен под названиями Terra Loader и SpicyOmelette. Исследователи давно связывают этот бэкдор с провайдером MaaS (Malware-as-a-Service), чьими услугами пользуются группировки Cobalt и FIN6.

В итоге аналитики Intezer выдвинули предположение, что за созданием More_Eggs и PureLocker стоят одни и те же люди.Так, компоненты COM Server DLL в обоих случаях написаны на PureBasic, стадия атаки перед пейлоадом выглядит практически идентично (как с точки зрения функциональности, так и с точки зрения кода), да и методы кодирования и декодирования тоже практически одинаковы.

Эксперты нашли связь между вымогателем PureLocker и хак-группами Cobalt и FIN6

Смотрите также

Проблемы EOS, или что не так с «убийцей Эфириума»?

В одной из основных блокчейн-платформ для децентрализованных приложений (dApps), EOS, наблюдаются задержки в работе. Так, …

Добавить комментарий

Adblock
detector