Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

azorult

PAYLOAD #2 : RANSOMWARE AURORA

Mã độc mà dropper thả vào trong payload thứ 2 chính là ransomware Aurora. Sau khi thực hiện thành công, nó mã hóa dữ liệu trên máy tính của nạn nhân và chỉ đạo nạn nhân trả 150 đô la bằng bitcoin.

Mã độc này là một phần mềm rất cơ bản và vì vậy , chúng ta sẽ chỉ phân tích các chức năng mạng và cố gắng lấy IOC từ chúng .

Khi hoạt động , đây là danh sách các module được load bởi mã độc này .

Modules Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Ransomware này nhắm mục tieu theo địa lý hoặc ít nhất nó có chức năng được tích hợp trong đó . Nó cố gắng kết nối với một vị trí và lấy vị trí của máy nạn nhân .

geolocation Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Script chạy trên server

https://cdn-images-1.medium.com/max/800/1*VUPvm-9KnhxhShMhJrVdXQ.png Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Script này tiếp cận với MaxMind và lấy vị trí của máy nạn nhân . Đây là cách chúng hoạt động .

Script Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Tại thời điểm này có vẻ như MalActor đang “ẩn danh” ở Nga dựa trên kết quả địa lý dò được từ hàm trên.

Và đây là thông tin C2 :

Connection initiation Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

C2 connection Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Bây giờ chúng ta hãy lướt nhanh xem kết nối được tạo ra đến C2 và cách thông tin được truyền theo cả hai hướng .

Máy chủ sử dụng tập lệnh php để tạo khóa công khai một lần , sau đó sử dụng để mã hóa các tệp trên đĩa . Khóa này được tạo ra dựa trên ID máy tính – dựa trên thông tin địa phương được trích xuất từ máy tính .

Mã độc này sử dụng ws2_32.dll cho tất cả hoạt động mạng . Nhìn vào ảnh dưới để xem cách kết nối được xây dựng thế nào :

Đầu tiên , sự kiện được khởi tạo :

Create Event Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Load nó vào bộ nhớ :

Load into memory Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Ip được chuyển vào stack

IP Passed to stack Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Yêu cầu đã sẵn sang để được gửi đến C2

Sent to C2 Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Và đây là kết quả với khóa được tạo :

Generated Key Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Xem thêm: Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora P2

Tiếp theo, chúng ta hãy xem xét quá trình mã hóa thực tế. Như bạn có thể thấy trong hình bên dưới, dữ liệu được tải vào bộ nhớ, sau đó được ghi vào các tệp (ghi đè) để mã hóa chúng:

Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Dưới đây là ví dụ về tệp đang được mã hóa. Điều này đạt được bằng cách chèn các ngắt vào hàm “memcpy” và sau đó thực hiện quá trình:

File being encrypted Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

File being written to disk Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Khoản tiền chuộc được yêu cầu là 150$

Aurora Ransom Note Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

Chuyên gia đã có thể truy cập vào bảng điều khiển quản trị của chiến dịch, đó là back-end cho ransomware Aurora. Trong chiến dịch này, chúng ta có thể thấy rằng MalActor chạy chiến dịch là một người được gọi là “Oktropys”, người đã được nhìn thấy chạy chiến dịch ransomware trong quá khứ và đã được ghi lại là ‘rtomware Oktropys’ trong một số bài báo, không hoàn toàn chính xác.

Aurora Backend Login Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora – End

KẾT LUẬN

AZORult trojan đã hoạt động khoảng một thời gian và đã được sử dụng thành công bởi bọn tội phạm để ăn cắp thông tin cá nhân quan trọng từ nạn nhân . Các mật khẩu bị đánh cắp đã được sử dụng rộng rãi để truy cập trái phép vào tài khoản ngân hàng, tài khoản email và các ứng dụng trực tuyến khác.

Phiên bản mới này là một ví dụ khác về các mã độc chứa trong các payload khác nhau để tối đa hóa lợi nhuận. Trong trường hợp này, chúng đã bao gồm một ransomware và đang yêu cầu $ 150 cho khóa giải mã, được quản lý bởi MalActor Oktropys.

BÌNH LUẬN

Please enter your comment!
Please enter your name here