Uma pesquisa recente da Trend Micro revelou uma nova variante do altamente malicioso ransomware AvosLocker. Ao explorar falhas de segurança não corrigidas, este ransomware evita a detecção desativando soluções antivírus.
Para preencher o vazio deixado pelo REvil, o AvosLocker é uma das famílias de ransomware mais recentes encontradas recentemente. É por isso que os analistas de segurança o associaram a uma série de ataques nos quais teve como alvo várias infra-estruturas críticas, como instituições financeiras e governamentais nos EUA.
Aqui está o que a Trend Micro pesquisadoresChristoper Ordonez e Alvin Nieto declararam: –
“Um arquivo legítimo do driver Avast Anti-Rootkit (asWarPot.sys) está sendo usado neste exemplo para desativar uma solução de defesa. Esta é a primeira vez que vemos uma cepa dos EUA usando esse recurso.”
Cadeia de infecção
No caso do Zoho ManageEngine ADSelfService Plus (ADSS), suspeita-se que esta exploração seja o ponto de entrada.
Como os detalhes do tráfego de rede do invasor não estavam disponíveis, os especialistas não conseguiram identificar o ID CVE exato da vulnerabilidade explorada pelo invasor.
Além disso, parece que eles abusaram do CVE-2021-40539, uma vulnerabilidade que o Synacktiv documentou anteriormente. Os especialistas observaram uma lacuna semelhante ao criar arquivos JSP (test.jsp), executar keytool.exe para executar seu código Java com parâmetros “nulos” e criar classes criadas.
Ferramentas e funções
A seguir mencionamos todas as ferramentas utilizadas e suas funções: –
- Netscan: Para procurar outros endpoints
- Nmap (log4shell.nse): Para verificar endpoints vulneráveis do Log4shell
- Ferramentas de hacking Mimikatz e Impacket: Para movimento lateral
- Implantação PDQ: Para implantação em massa do script malicioso em vários endpoints
- Aswarpot.sys: Para desativar soluções de defesa.
Processos
A seguir mencionamos todos os processos que a rotina pesquisa sobre a infecção: –
- EndpointBasecamp.exe
- Trend Micro Endpoint Basecamp
- ResponseService.exe
- PccNTMon.exe
- SupportConnector.exe
- AOTAgent.exe
- CETASvc.exe
- CETASvc
- iVPAgent.exe
- tmwscsvc.exe
- Resposta TM
- AOTAgentSvc
- Servidor TMBMS
- iVPAgent
- Comunicador de serviços Web da Trend Micro
- Tmccsf
- Ouça
- Ntrtscan
- TmWSCSvc
Países segmentados
Quando as entidades visadas se recusam a pagar o resgate, o AvosLocker leiloa os dados roubados delas, essencialmente oferecendo-lhes extorsão em troca de dados. Foi identificado pela primeira vez em julho de 2021 como um grupo afiliado RaaS.
O cartel Ransomware também reivindicou os seguintes países como endereços das vítimas de seus ataques de ransomware: –
- Síria
- Arábia Saudita
- Alemanha
- Espanha
- Bélgica
- Peru
- Os Emirados Árabes Unidos
- O Reino Unido
- Canadá
- China
- Taiwan
Comandos usados
No arquivo em lote que foi implantado, você pode encontrar os seguintes comandos: –
- Desativar Windows Atualização e Microsoft Defender
- Impede a execução de inicialização segura de produtos de segurança
- Crie uma nova conta de administrador
- Adicione o mecanismo AutoStart para o executável AvosLocker (update.exe)
- Desativa a legenda do aviso legal
- Defina o safeboot com rede e desative Windows Recuperação de erros e reinicialização
O HTA conseguiu se conectar novamente ao servidor C2 e executar um script PowerShell ofuscado com um shellcode e executar comandos arbitrários.
Usando o processo descrito acima, um web shell ASPX, bem como um arquivo de instalação do software de desktop remoto anyDesk, serão solicitados ao servidor.
Além disso, com a ajuda deste processo, ele implanta outras ferramentas, como verificação da rede local, encerramento de software de segurança e eliminação de uma carga útil de ransomware.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.