Aggregator

1 概述

近日，安天CERT通过网络安全监测发现利用“黑神话悟空修改器”传播恶意代码的活动，攻击者将自身的恶意代码程序与《黑神话：悟空》第三方修改器“风灵月影”捆绑在一起，再通过在社媒发布视频等方式引流，诱导玩家下载。玩家一旦下载了带有恶意代码的修改器版本，在运行修改器的同时，也将在后台自动运行恶意代码，导致计算机被控制，产生隐私泄露、经济损失等风险。

《黑神话：悟空》作为国产首款3A游戏大作，千万玩家在线狂欢，尽享盛宴。但玩家尽情在痛殴游戏中的BOSS（或被BOSS痛殴）的时候，也要小心网络中的妖魔鬼怪、恶意代码。祝玩家在游戏中都成为齐天大圣，在上网时也擦亮火眼金睛，穿上金甲战衣。

经验证，安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。

2 样本传播渠道

1.利用视频图文引流，携带恶意钓鱼网址

攻击者在视频网站、博客等平台发布视频、图文等格式钓鱼内容，并在其中附带捆绑木马的游戏修改器下载链接，诱导用户下载并执行恶意程序。

图 2‑1通过视频网站引流钓鱼网址

图 2‑2通过发帖引流钓鱼网址

2.警惕利用闲鱼、淘宝等购物平台传播捆绑木马

《黑神话：悟空》的大量“修改器”上架闲鱼、淘宝平台，售价在1~10元左右，这些修改器很多都标注称是“风灵月影”，但实际上，该修改器均为完全免费软件，在风灵月影的网站上就可免费下载。攻击者可能会将携带恶意代码的《黑神话：悟空》修改器挂到购物网站上引流，请广大用户谨慎购买。

图 2‑3 闲鱼、淘宝平台售卖大量修改器

3 样本分析

3.1样本标签

表 3‑1二进制可执行文件

病毒名称

Trojan/Win32.PoolInject

原始文件名

黑神话悟空修改器.exe

MD5

2C00D2DA92600E70E7379BCAFF6D10B1

处理器架构

Intel 386 or later, and compatibles

文件大小

6.88 MB (7,215,452 字节)

文件格式

BinExecute/Microsoft.EXE[:X86]

时间戳

2022-12-14 13:40:00 UTC

数字签名

无

加壳类型

无

编译语言

Visual C/C++

VT首次上传时间

2024-08-25 06:21:11 UTC

VT检测结果

44/75

3.2样本分析

样本是一个Advanced Installer安装包，执行时会在桌面释放“Black Myth Wukong v1.0 Plus 35 Trainer.exe”并执行，该文件为正常修改器程序。另外还会启动msi文件的安装。该安装包可使用/extract参数解包。

图 3‑1样本安装包

msi文件设置了执行条件，不支持虚拟机中运行。

图 3‑2检测虚拟机环境

其捆绑的恶意程序WindowsSandBoxC.exe存放在streams流中，会在运行正常修改器后执行。

图 3‑3安装包内嵌的恶意程序

样本伪装图标和数字签名为Windows Sandbox组件，但与实际系统组件无关。

图 3‑4伪装的图标和数字签名

样本使用ZeroMQ库在进程内传递数据。攻击者对样本中的载荷下载地址中的符号进行了替换，实际的载荷下载地址为https[:]//a-1324330606.cos.accelerate.myqcloud[.]com/a和https[:]//xyz-1324330606.cos.accelerate.myqcloud[.]com/xyz。相关地址为腾讯云对象存储服务。

图 3‑5利用ZeroMQ进行通信

相关下载代码如下所示。

图 3‑6下载载荷

目前该载荷下载地址已失效，但通过情报关联，可以发现其后续载荷还通过相同对象云存储账号下的多个位置下载了载荷。

图 3‑7关联后续载荷

通过对其载荷下载地址中的腾讯云COS存储桶ID进行关联搜索，可发现近期在该腾讯云存储账号中还出现过多次恶意载荷，包括与目前活跃的“游蛇”（又称银狐）组织相关的攻击样本。

此外还发现多个其他软件被捆绑的样本，他们的行为中包含下载多个云存储文件，以及类似%ProgramFiles%\Adobe\

图 3‑8更多被捆绑的样本

安天智甲终端防御系统（简称IEP）可实现对捆绑的恶意代码的有效查杀。

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲可对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，对发现病毒可在其落地时第一时间发送告警并进行处置，避免恶意代码启动。

图 3-9发现病毒时，智甲第一时间捕获并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 3-10通过智甲管理中心查看并完成威胁事件处置

4 loCs

2C00D2DA92600E70E7379BCAFF6D10B1

308D7792233286B2AE747DA9F9343487

http://tgfile.1258012.xyz/cac1be36221

https://a-1324330606.cos.accelerate.myqcloud.com/a

https://xyz-1324330606.cos.accelerate.myqcloud.com/xyz

1 概述

RansomHub勒索攻击组织被发现于2024年2月，自出现以来持续活跃，采用勒索软件即服务（RaaS）模式运营，通过“窃取文件+加密数据”双重勒索策略对受害者实施侵害。目前，尚未发现能够成功解密其加密数据的有效工具。该组织利用特定方式公开受害者的敏感信息，并以此为要挟，迫使受害者支付赎金或满足其他非法要求，以避免其数据被进一步泄露或出售。截至2024年9月12日，该组织所使用的信息发布站点共有227名受害者信息，实际受害者数量会更多，因为攻击者出于某些原因可能选择不公开或删除信息，例如在与受害者进行协商谈判并达成一致后，或者受害者支付了赎金以换取信息的删除。

RansomHub勒索攻击组织使用的攻击技战术与Knight勒索攻击组织有着显著的相似之处。此外，它与曾经在勒索攻击领域活跃但现已退出的BlackCat（又名ALPHV）组织似乎存在某种联系。在最近发现的攻击事件中，RansomHub组织表现出了利用高级持续性威胁（Advanced Persistent Threat,APT）组织常用的技战术来执行勒索攻击的能力。因此，RansomHub组织的背景错综复杂，究竟是“集万恶于一身”还是“另立山头”，目前尚未明确，这些推测指向了一个复杂的网络犯罪生态系统，其中攻击者之间的界限可能远比表面看起来的要模糊。

2 组织背景

2024年2月，暗网监控云服务商ParanoidLab发现名为“koley”的用户在黑客论坛发布关于RansomHub勒索攻击组织RaaS的相关计划[1]，用于招揽附属成员，包括勒索赎金分赃比例、加密工具特性和部分规则等内容。

图 2‑1 RansomHub组织RaaS计划

2023年5月，Cyclops勒索攻击组织首次出现在公众视野中，同年7月更名为Knight。2024年2月，有关该组织成员在黑客论坛上公开销售其核心源代码的消息被披露[2]。与此同时，RansomHub勒索攻击组织在同一月份被发现，其使用的勒索软件载荷和技战术与Knight有着显著的相似之处[3]，而且这两个组织的成员在论坛中注册时间点相同。这种相似性不难引发猜测，包括以下几种可能性：RansomHub可能采用了Knight的源代码；或者，Knight的一部分原成员可能已经转投RansomHub；又或者，Knight可能进行了一次品牌重塑，以RansomHub的新身份继续其网络犯罪行为。

图 2‑2 Knight组织出售代码

2024年2月，美国医疗保健行业的巨头Change Healthcare不幸成为BlackCat勒索攻击组织成员“Notchy”所发动攻击的目标[4]。这次攻击导致公司的部分业务系统遭到加密，还使得数以TB计的敏感数据被窃。面对这种情况，Change Healthcare在3月初做出了支付赎金的决定，总额约2200万美元，这是为了确保公司的数据能够恢复，并且防止被盗数据被进一步泄露或在黑市上出售。但成员“Notchy”表示受害者支付赎金后并未收到自己应得的分成部分，全额赎金都被BlackCat管理人员扣押。随后，BlackCat管理人员在黑客论坛中表示BlackCat这一品牌退出勒索市场[5]，其代码已出售。4月，“Notchy”将窃取到的数据转移到RansomHub勒索攻击组织并继续勒索Change Healthcare。种种行径不禁让人心生疑窦，是否是其自导自演的一出戏，以此来误导公众，让外界相信BlackCat真的退出了勒索软件市场，抑或是换了个名头，继续为非作歹。

·勒索软件样本部分

RansomHub勒索软件样本通过C++和Go语言进行编写，为干扰安全人员分析，代码段利用特定方式进行混淆。勒索软件样本执行前提需读取特定json文件，若读取失败则无法执行样本。这一技术手段与BlackCat勒索软件存在相似点[6]。

勒索载荷执行时需读取前置json文件，根据json文件中预设的字段信息实现不同功能。

图 2‑3 json文件中的功能字段

根据json文件内的字段设定，结合勒索软件部分特性猜测其对应功能，具体信息见下表：

表 2‑1 json内字段及对应功能信息表

字段

对应功能

字段

对应功能

extension

被加密文件的后缀名

net spread

网络传播

local disks

本地磁盘加密

running one

只执行一次

self delete

自删除

white files

不加密的文件

white hosts

不加密的主机

credentials

用于访问的凭证信息

kill services

结束特定服务

set wallpaper

设置桌面背景

white folders

不加密的目录

note file name

勒索信名称

note full text

完整勒索信内容

kill processes

结束特定进程

network shares

网络共享加密

note short text

简短勒索信内容

master public key

用于加密的主公钥

在勒索软件功能这部分，RansomHub与Knight均支持通过命令行模式选择不同选项，从而实现不同功能，且部分模式与对应字段均相同。

图 2‑4 RansomHub与Knight部分功能对比

RansomHub勒索攻击组织近期利用自带易受攻击的驱动程序（Bring Your Own Vulnerable Driver,BYOVD）技术开展勒索攻击。攻击者利用此类技术将存在安全漏洞的合法驱动程序植入目标系统，这些驱动程序由于拥有合法的数字签名，往往能够逃避安全软件的审查，从而不被标记或阻止。这些驱动程序，尤其是内核模式的驱动程序，一旦被成功利用，便能为攻击者提供一种手段，以实现对目标系统的内核级权限提升。这种权限提升不仅赋予攻击者对系统资源的全面访问权，还使他们能够对端点安全软件进行禁用或规避其检测，从而在目标系统中肆意进行各种恶意活动。

值得注意的是，这种策略并非RansomHub的独创，包括Lazarus和Lamberts在内的一些APT组织，也曾使用过类似的技术开展攻击活动。此外，BlackCat、Cuba和LockBit[7]等勒索攻击组织也纷纷效仿，利用这种手段实施勒索攻击。正如安天在2021年发布的《网络安全威胁的回顾与展望》[8]中所提到的，部分勒索攻击能力已经达到“APT”水平。

3 受害者信息发布平台

RansomHub组织将其受害者的信息发布在特定的Tor网络地址上。每个受害者都有自己独立的信息展示区。该组织根据是否已经公开了窃取的数据，将受害者的状态分为两种：“未公开”（倒计时状态）和“已公开”（PUBLISHED）。在每个受害者的状态信息下方，还详细列出了包括被浏览次数（Visits）、窃取数据的总量（Data Size）、最后更新时间（Last View）以及受害者信息首次发布的时间等关键信息。

图 3‑1 发布受害者信息的Tor页面

如下图所示，该受害者信息栏表示当前从受害者窃取到的数据已公开，已被浏览2585次，窃取数据50 GB，上次更新时间：8月26日03:30:27 UTC，最初发布时间为8月21日12:03:03 UTC。

图 3‑2 受害者信息状态

进入信息栏中可以看到对受害者的简介，部分窃取到的数据示例和用于下载已公开数据的地址等信息。

图 3‑3  受害者信息及数据下载地址

该组织还采用拍卖的方式出售窃取到的数据。

图 3‑4 采用拍卖的形式出售数据

关于页面的内容为该组织相关介绍和一些条例。

图 3‑5 Tor网站中组织介绍

联系页面的内容为该组织对受害者和想成为附属成员预留的内容。

图 3‑6 Tor网站中联系信息

4 防护建议

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。安天智甲终端安全系列产品（以下简称“智甲”）依托安天自研威胁检测引擎和内核级主动防御能力，可以有效查杀本次发现病毒样本。

智甲具备内核级防护能力，基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，并且结合勒索行为特征库检测，可分析进程行为是否疑似勒索攻击行为，对发现的勒索攻击可在第一时间进行阻断。

图 4‑1 发现病毒时，智甲第一时间拦截并发送告警

智甲还为用户提供统一管理平台，管理员可通过平台集中查看网内威胁事件详情，并批量进行处置，提高终端安全运维效率。

图 4‑2通过智甲管理中心查看并完成威胁事件处置

5 参考链接

[1] ParanoidLab.ParanoidLab spotted RansomHub, a new Ransomware as a Service (RaaS) on the Dark Web.(2024-02-02)

https://www.linkedin.com/feed/update/urn:li:activity:7159288343535484928/

[2] BleepingComputer.Knight ransomware source code for sale after leak site shuts down [R/OL].(2024-02-20)

https://www.bleepingcomputer.com/news/security/knight-ransomware-source-code-for-sale-after-leak-site-shuts-down/

[3] Symantec.RansomHub: New Ransomware has Origins in Older Knight [R/OL].(2024-06-05)

https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware

[4] Forescout.Analysis: A new ransomware group emerges from the Change Healthcare cyber attack [R/OL].(2024-05-09)

https://www.forescout.com/blog/analysis-a-new-ransomware-group-emerges-from-the-change-healthcare-cyber-attack/

[5] BleepingComputer.BlackCat ransomware shuts down in exit scam, blames the "feds"[R/OL].(2024-03-05)

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-shuts-down-in-exit-scam-blames-the-feds/

[6] 安天.警惕因BlackCat勒索软件造成的数据泄露[R/OL].(2023-07-03)

https://www.antiy.cn/research/notice&report/research_report/BlackCat_Analysis.html

[7] 安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考[R/OL].(2023-12-30)

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

[8] 安天.2021年网络安全威胁的回顾与展望[R/OL].(2022-01-28)

https://www.antiy.cn/research/notice&report/research_report/2021_AnnualReport.html