PAYLOAD #2 : RANSOMWARE AURORA
Mã độc mà dropper thả vào trong payload thứ 2 chính là ransomware Aurora. Sau khi thực hiện thành công, nó mã hóa dữ liệu trên máy tính của nạn nhân và chỉ đạo nạn nhân trả 150 đô la bằng bitcoin.
Mã độc này là một phần mềm rất cơ bản và vì vậy , chúng ta sẽ chỉ phân tích các chức năng mạng và cố gắng lấy IOC từ chúng .
Khi hoạt động , đây là danh sách các module được load bởi mã độc này .
Ransomware này nhắm mục tieu theo địa lý hoặc ít nhất nó có chức năng được tích hợp trong đó . Nó cố gắng kết nối với một vị trí và lấy vị trí của máy nạn nhân .
Script chạy trên server
Script này tiếp cận với MaxMind và lấy vị trí của máy nạn nhân . Đây là cách chúng hoạt động .
Tại thời điểm này có vẻ như MalActor đang “ẩn danh” ở Nga dựa trên kết quả địa lý dò được từ hàm trên.
Và đây là thông tin C2 :
Bây giờ chúng ta hãy lướt nhanh xem kết nối được tạo ra đến C2 và cách thông tin được truyền theo cả hai hướng .
Máy chủ sử dụng tập lệnh php để tạo khóa công khai một lần , sau đó sử dụng để mã hóa các tệp trên đĩa . Khóa này được tạo ra dựa trên ID máy tính – dựa trên thông tin địa phương được trích xuất từ máy tính .
Mã độc này sử dụng ws2_32.dll cho tất cả hoạt động mạng . Nhìn vào ảnh dưới để xem cách kết nối được xây dựng thế nào :
Đầu tiên , sự kiện được khởi tạo :
Load nó vào bộ nhớ :
Ip được chuyển vào stack
Yêu cầu đã sẵn sang để được gửi đến C2
Và đây là kết quả với khóa được tạo :
Xem thêm: Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora P2
Tiếp theo, chúng ta hãy xem xét quá trình mã hóa thực tế. Như bạn có thể thấy trong hình bên dưới, dữ liệu được tải vào bộ nhớ, sau đó được ghi vào các tệp (ghi đè) để mã hóa chúng:
Dưới đây là ví dụ về tệp đang được mã hóa. Điều này đạt được bằng cách chèn các ngắt vào hàm “memcpy” và sau đó thực hiện quá trình:
Khoản tiền chuộc được yêu cầu là 150$
Chuyên gia đã có thể truy cập vào bảng điều khiển quản trị của chiến dịch, đó là back-end cho ransomware Aurora. Trong chiến dịch này, chúng ta có thể thấy rằng MalActor chạy chiến dịch là một người được gọi là “Oktropys”, người đã được nhìn thấy chạy chiến dịch ransomware trong quá khứ và đã được ghi lại là ‘rtomware Oktropys’ trong một số bài báo, không hoàn toàn chính xác.
KẾT LUẬN
AZORult trojan đã hoạt động khoảng một thời gian và đã được sử dụng thành công bởi bọn tội phạm để ăn cắp thông tin cá nhân quan trọng từ nạn nhân . Các mật khẩu bị đánh cắp đã được sử dụng rộng rãi để truy cập trái phép vào tài khoản ngân hàng, tài khoản email và các ứng dụng trực tuyến khác.
Phiên bản mới này là một ví dụ khác về các mã độc chứa trong các payload khác nhau để tối đa hóa lợi nhuận. Trong trường hợp này, chúng đã bao gồm một ransomware và đang yêu cầu $ 150 cho khóa giải mã, được quản lý bởi MalActor Oktropys.
