近日，有觀察人士發(fā)現(xiàn)，勒索軟件HelloXD新部署了一個(gè)后門(mén)——MicroBackdoor，旨在加強(qiáng)其對(duì)受感染主機(jī)的持續(xù)遠(yuǎn)程訪問(wèn)。

勒索軟件HelloXD首次出現(xiàn)在威脅場(chǎng)景發(fā)生于2021年11月30日，它借鑒了勒索軟件Babuk的代碼。自2021年9月以來(lái)，Babuk的身影就一直活躍在俄語(yǔ)黑客論壇之中。不同于其他勒索軟件，該勒索團(tuán)伙并不通過(guò)泄密網(wǎng)站聯(lián)系受害者，而是通過(guò)即時(shí)聊天系統(tǒng)TOX和基于洋蔥模型的通訊實(shí)體工具進(jìn)行聯(lián)系。

惡意軟件HelloXD主要針對(duì)的是Windows和Linux 系統(tǒng)。根據(jù)Palo Alto Networks威脅情報(bào)團(tuán)隊(duì)Unit 42的觀察，在最近一次的攻擊中，攻擊者部署了開(kāi)源后門(mén)MicroBackdoor，以保持對(duì)受感染主機(jī)的持續(xù)訪問(wèn)。

該后門(mén)允許攻擊者瀏覽文件系統(tǒng)、上傳與下載文件、執(zhí)行命令，并從受感染的系統(tǒng)中將自己的攻擊記錄刪除。對(duì)后門(mén)MicroBackdoor的樣本分析顯示，配置中包含一個(gè)嵌入的IP地址。研究人員推測(cè)，該IP地址可能是屬于開(kāi)發(fā)人員x4k（又名L4ckyguy、unKn0wn、unk0w、_unkn0wn或x4kme）的。

“在我們觀察的樣本中，贖金記錄遭到了修改。在第一個(gè)樣本中，贖金記錄僅與TOX ID相關(guān)聯(lián)，而后來(lái)觀察到的樣本中，贖金記錄不僅鏈接到TOX ID，同時(shí)還連接到了一個(gè)洋蔥域名，這就和在先前樣本中觀察到的有所不同。而截至本文撰寫(xiě)時(shí)，該網(wǎng)站已經(jīng)關(guān)閉”，在PaloAlto Networks發(fā)布的分析報(bào)告中如此寫(xiě)道。

此外，研究人員還發(fā)現(xiàn)，攻擊者對(duì)勒索軟件HelloXD的二進(jìn)制文件主要采用了兩個(gè)打包程序，第一個(gè)是UPX的改進(jìn)版，第二個(gè)是一個(gè)兩層組成的打包程序，其中兩層中也包含了與第一個(gè)相同的自定義UPX打包程序。

Unit42的研究人員共觀察到兩種不同的HelloXD公開(kāi)樣本，這表明這個(gè)惡意軟件仍在開(kāi)發(fā)中。第一個(gè)樣本非常簡(jiǎn)陋，混淆度最小，通常會(huì)搭配一個(gè)混淆加載器，該加載器負(fù)責(zé)在將其注入內(nèi)存之前通過(guò)使用WinCrypt API對(duì)其進(jìn)行解密。第二個(gè)樣本則模糊得多，由打包程序而不是加載程序在內(nèi)存中執(zhí)行。

值得一提的是，這兩個(gè)樣本實(shí)現(xiàn)了類似的功能，因?yàn)樗鼈兌冀栌昧诵孤兜腂abuk源代碼。

“盡管HelloXD仍然是一個(gè)處于初始階段的勒索軟件家族，但它已經(jīng)展示出有對(duì)組織機(jī)構(gòu)產(chǎn)生影響的打算。雖然勒索軟件早已不是什么新鮮事了，可是根據(jù)我們的研究顯示，這個(gè)勒索軟件很可能是由名為x4k的攻擊者開(kāi)發(fā)的。這個(gè)攻擊者在各種黑客論壇上都聲名顯赫，而且似乎擁有俄羅斯血統(tǒng)”， PaloAlto Networks發(fā)布的分析報(bào)告總結(jié)道，“我們還發(fā)現(xiàn)了x4k的其他惡意軟件活動(dòng)，最早可追溯至2020 年。”