DeathRansom來自惡意程式聚寶盆 揭多項活動相同幕後黑手

研究人員發現最新的惡意程式活動 DeathRansom,可能是其他大量惡意工具的一部份,而且全部都由一名化名為「scat01」的神秘人士操作,估計是一名現居於意大利的操俄語人士。

由資料盜竊到加密勒索
DeathRansom 首先被發現到與其他惡意程式有關,就是正在活躍的資料盜竊活動 Vidar,有 Vidar 樣本嘗試下載 DeathRansom 惡意程式,然而這只是一個開始。樣本文件名稱為「Wacatac_2019-11-20_00-10.exe」,從由「scat01」的 Bitbucket 的目錄下載,並且發現有其他惡意程式樣本使用相同的目錄,其中包括 Vidar 文庫用作破解不同瀏覽器密碼。

DeathRansom 在注冊表上使用「Wacatac」名字,所以基於相同的惡意程式儲存、名稱模式和 Vidar 樣本嘗試下載 DeathRansom,研究人員認為 Vidar 和 DeathRansom 由相同的幕後黑手操作,並在 Bitbucket 使用 scat01 作為名字和部份惡意程式樣本的名稱。為了更深入研究,他們開始尋找存在 scat01 字串的惡意程式樣本,結果發現一個惡意程式的「聚寶盆」,發現大量惡意程式其實由相同人士管理,其中包括資料盜竊用的 Azorult 連接 C2 伺服器名稱正是 scat01[.]tk,而 Evrial 和 1ms0rryStealer 都是採用相同的伺服器。

調查也帶領研究人員前往一個名為 gameshack[.]ru 的網站,同樣用作傳播惡意程式並存在 scat01 字串,網域的根資料夾存放著惡意程式樣本讓惡意程式下載器使用,而有關的正是 Evrial 和惡意挖礦程式 Supreme,而且所有有關的樣本使用 DeathRansom 相同的 IP 記錄工具服務去記錄受影響裝置。最後,發現與 scat01 有關連的包括資料盜竊工具 Vidar、Azorult、Evrial、1ms0rryStealer、挖礦工具 Supreme 和加密勒索程式 DeathRansom,而 DeathRansom 源於一個惡意的玩笑,索取贖金但不會加密檔案,而研究人員發現近日已經完全進化成為具備真實加密能力的惡意程式。

誰是 scat01?
根據研究人員透露,scat01 大有可能是現居於意大利 Egor Nedugov 的操俄語人士,他們從網絡上不斷搜集零碎的資料得出以上答案。首先他們發現,scat01 與 yandex.ru 電郵地址有關連,並且是數個樣本的持有人,然後在地下討論區中找到更多與 scat01 有關的惡意程式,一名以 scat01 化名以俄語記下 Vidar 和 Supreme 的評論,而另一個討論區 scat01 則評論 Evrial,在 Yandex.Market 有人以相同電郵地址作出產品評論,而發送人的地址標示在 Aksay,一個在 Rostov-on-Don 附近的俄羅斯小鎮,而所有評論者都使用相同的頭像圖片。

根據以上資料研究人員幾乎可斷定 Yandex 的資料與討論區的 scat01 有關連,與 gameshack[.]ru 的惡意程式散播也一樣。直至研究人員發現有 Youtube 頻道在推銷惡意程式網站 gameshack[.]ru,該用家名稱為 SoftEgorka,在提供的 Skype 連結也使用相同的用戶名稱。根據這些線索尋找 Skype 用戶,發現一名使用相同俄羅斯討論區資料的用戶資料,這次用戶名稱為「Super Info」,再以此名字搜索就發現出售遊戲帳號 (包括 Steam、WoT 和 Origin) 的貼子,同時也表示盜竊工具可以從不同遊戲平台上盜取密碼,間接證明 Super Info 與盜竊資料的活動有關。

在個人資料內含有一個 WebMoney ID,而這 ID 同時被另一個 Skype 地址「nedugov99」所採用,經過調查後發現曾經用作遊戲帳號的舊廣告上,內裡含有一個屬於 Rostov-on-Don 的電話號碼,而該 ID 持有人為 Egor Nedugov,其中 Egor 是其中一個地下匿稱,SoftEgorka 和 Nedugov 則與 Skype 帳號 nedugov99 有關連,而根據資料檔相關人士居住在 Rostov-on-Don,加上 Yandex 的評論從 Aksay 發出,正是 Rostov-on-Don 旁的小鎮,最後從 Facebook 和 Instagram 的 Egor Nedugov 帳號發現,持有人已居住於意大利一段時間。

資料來源:Threat Post

Comments are closed