BlackCat ransomware использует новую виртуальную машину Linux 'Munchkin' для скрытных атак

Оператор BlackCat/ALPHV начал использовать новый инструмент под названием "Munchkin", который использует виртуальные машины для скрытого развертывания шифровальщиков на сетевых устройствах.

Munchkin позволяет BlackCat запускаться на удаленных системах и шифровать удаленные сетевые ресурсы Server Message Block (SMB) или Common Internet File (CIFS).

Появление Munchkin в и без того обширном и продвинутом арсенале BlackCat делает RaaS более привлекательной для злоумышленников, стремящихся стать аффилированными лицами ransomware.

Прячется в VirtualBox

Специалисты "Unit 42" компании Palo Alto Networks обнаружили, что новый инструмент Munchkin от BlackCat представляет собой адаптированный дистрибутив Alpine OS Linux, поставляемый в виде ISO-файла.

После компрометации устройства угрозы устанавливают VirtualBox и создают новую виртуальную машину, используя ISO-файл Munchkin.

Виртуальная машина Munchkin включает в себя набор скриптов и утилит, которые позволяют злоумышленникам сбрасывать пароли, распространяться по сети, собирать полезную нагрузку шифратора BlackCat 'Sphynx' и выполнять программы на компьютерах сети.

При загрузке компьютер меняет пароль root на известный только злоумышленникам и с помощью утилиты 'tmux' запускает двоичный файл вредоносной программы на языке Rust под названием 'controller', который начинает загружать скрипты, используемые в атаке.

Эти скрипты перечислены ниже:

Структура файловой системы образа

"Контроллер" использует поставляемый в комплекте конфигурационный файл, в котором содержатся маркеры доступа, учетные данные жертвы и параметры аутентификации, а также директивы конфигурации, списки папок и файлов, задания для выполнения и хосты для шифрования.

Эта конфигурация используется для создания исполняемых файлов шифратора BlackCat в каталоге /payloads/, которые затем передаются на удаленные устройства для шифрования файлов или шифрования сетевых ресурсов SMB и CIFS.

Диаграмма атаки Munchkin

Специалисты Unit 42 обнаружили в коде вредоносной программы сообщение от авторов BlackCat, адресованное их партнерам и предостерегающее от оставления ISO на целевых системах из-за отсутствия шифрования конфигурации, особенно подчеркивая риск утечки маркера доступа к чату.

Распространенной проблемой, с которой сталкиваются жертвы ransomware и злоумышленники, является утечка образцов через сайты анализа вредоносного ПО. Анализ образцов вымогательского ПО позволяет исследователям получить полный доступ к чату переговоров между бандой вымогателей и ее жертвой.

Чтобы предотвратить это, партнеры при запуске предоставляют токены доступа к переговорному сайту Tor во время выполнения программы. Таким образом, получить доступ к переговорному чату жертвы невозможно, даже если у них есть доступ к образцу, используемому в атаке.

В связи с этим разработчики предупреждают партнеров о необходимости удаления виртуальных машин и ISO-файлов Munchkin для предотвращения утечки токенов доступа.

Разработчики также включают инструкции и советы по использованию "Контроллера" для мониторинга хода атаки и запуска заданий.

Примечание, содержащееся в вредоносном ПО

Munchkin облегчает аффилированным с BlackCat ransomware лицам выполнение различных задач, в том числе обход решений безопасности, защищающих устройство жертвы. Это связано с тем, что виртуальные машины обеспечивают уровень изоляции от операционной системы, что затрудняет обнаружение и анализ для защитного ПО.

Кроме того, выбор Alpine OS обеспечивает малый цифровой след, а автоматизация работы инструмента снижает необходимость ручного вмешательства и шум от командных потоков.

Наконец, модульность Munchkin, включающая различные Python-скрипты, уникальные конфигурации и возможность замены полезной нагрузки по мере необходимости, позволяет легко адаптировать инструмент к конкретным целям или кампаниям.

19.10.2023
https://www.bleepingcomputer.com/ne...es-new-munchkin-linux-vm-in-stealthy-attacks/
Перевод: deepl.com/translator​