Wormable DarkRadiation Ransomware sa zameriava na inštancie Linuxu a Docker

Výskumníci v oblasti kybernetickej bezpečnosti bijú na poplach v súvislosti s novým kmeňom ransomvéru s názvom „DarkRadiation“, ktorý je úplne implementovaný v Bash a zameriava sa na cloudové kontajnery Linux a Docker, pričom využíva službu odosielania správ Telegram pre komunikáciu príkazov a riadenia (C2).

„Ransomvér je napísaný v skripte Bash a zameriava sa na distribúcie Red Hat/CentOS a Debian Linux,“ uviedli vedci z Trend Micro v správe zverejnenej minulý týždeň. “Malvér používa algoritmus AES OpenSSL s režimom CBC na šifrovanie súborov v rôznych adresároch. Používa tiež rozhranie API Telegramu na odoslanie stavu infekcie aktérom hrozby.”

V čase písania nie sú k dispozícii žiadne informácie o spôsoboch doručenia ani dôkazy, že ransomvér bol nasadený pri útokoch v reálnom svete.

Zistenia pochádzajú z analýzy súboru hackerských nástrojov umiestnených v infraštruktúre neidentifikovaného aktéra hrozby (IP adresa „185.141.25.168“) v adresári s názvom „api_attack“. Súpravu nástrojov si prvýkrát všimol Twitter užívateľa @r3dbU7z dňa 28. mája.

Infekčný reťazec DarkRadiation zahŕňa viacstupňový proces útoku a je pozoruhodný svojou rozsiahlou závislosťou od Bash skriptov pri získavaní malvéru a šifrovaní súborov, ako aj Telegram API na komunikáciu so serverom C2 prostredníctvom pevne zakódovaných kľúčov API.

Proces šifrovania

Hovorí sa, že ransomvér je v aktívnom vývoji, využíva taktiku zahmlievania na zakódovanie skriptu Bash pomocou nástroja s otvoreným zdrojovým kódom s názvom „node-bash-obfuscate“ na rozdelenie kódu na viacero častí, po ktorom nasleduje priradenie názvu premennej každému segmentu a nahradenie pôvodný skript s odkazmi na premenné.

Po spustení DarkRadiation skontroluje, či je spustený ako užívateľ root, a ak áno, použije zvýšené oprávnenia na stiahnutie a inštaláciu knižníc Wget, cURL a OpenSSL a vytvorí pravidelné snímky používateľov, ktorí sú momentálne prihlásení do počítačového systému Unix. pomocou príkazu „who“ každých päť sekúnd, ktorého výsledky sú potom exfiltrované na server ovládaný útočníkom pomocou Telegram API.

„Ak niektorý z týchto [libraries] nie sú dostupné na infikovanom zariadení, malvér sa pokúša stiahnuť požadované nástroje pomocou YUM (Yellowdog Updater, Modified), správcu balíkov založený na pythone, ktorý je široko používaný populárnymi linuxovými distribúciami, ako sú RedHat a CentOS,“ vysvetlili paralelne výskumníci SentinelOne. Zápis z DarkRadiation zverejnený v pondelok.

Ransomvér vo svojej konečnej fáze infekcie získa zoznam všetkých dostupných používateľov v napadnutom systéme, prepíše existujúce používateľské heslá „megapassword“ a odstráni všetkých používateľov shellu, ale nie skôr, ako vytvorí nového používateľa s používateľským menom „ferrum“. “ a heslo „MegPw0rD3“, aby ste mohli pokračovať v procese šifrovania.

Funkcia roztierania ako červ

Je zaujímavé, že analýza SentinelOne odhaľuje rôzne variácie, v ktorých je heslo pre používateľa „ferrum“ stiahnuté z útočníkovho servera C2 v niekoľkých verziách, zatiaľ čo v iných je napevno zakódované pomocou reťazcov ako „$MeGaPass123#“, čo znamená, že malvér prechádza rýchle zmeny pred skutočným nasadením.

“Je potrebné poznamenať, že ransomvér pridáva rádioaktívne symboly (‘.☢’) ako príponu súboru pre šifrovaný súbor,” povedal Aliakbar Zahravi, výskumník hrozieb Trend Micro.

Druhou pohyblivou časťou spojenou s útokom je červ SSH, ktorý je navrhnutý tak, aby získal konfiguráciu poverení vo forme parametra zakódovaného v base64. Následne sa tento zakódovaný argument použije na pripojenie k cieľovému systému pomocou protokolu SSH a prípadne stiahnutie a spustenie ransomvéru.

Okrem hlásenia stavu vykonávania spolu so šifrovacím kľúčom späť na kanál telegramov protivníka prostredníctvom rozhrania API prichádza DarkRadiation aj s možnosťou zastaviť a deaktivovať všetky spustené kontajnery Docker na infikovanom počítači, po čom sa zobrazí výkupné. používateľ.

„Malvér napísaný v skriptovacích jazykoch shellu umožňuje útočníkom byť všestrannejšími a vyhnúť sa niektorým bežným metódam detekcie,“ uviedli vedci zo SentinelOne.

“Keďže skripty nie je potrebné prekompilovať, je možné ich opakovať rýchlejšie. Navyše, keďže niektoré bezpečnostné softvéry sa spoliehajú na statické podpisy súborov, možno ich ľahko obísť rýchlou iteráciou a použitím jednoduchých obfuskovacích nástrojov na generovanie úplne odlišných skriptov.” súbory.”