Zeppelin Ransomware 浪潮席卷而來隨身攜帶新木馬
Zeppelin Ransomware在沉寂數月后,又重新成為人們關注的焦點。
Juniper Threatlab研究人員在8月發現了一波攻擊,利用了新的木馬下載器。就像在2019年末觀察到的最初的Zeppelin浪潮一樣,這些郵件首先是帶有Microsoft Word附件(主題為“invoices”)的網絡釣魚電子郵件,其中帶有惡意宏。用戶啟用宏后,感染過程即會開始。
在最新的活動中,Visual Basic腳本的片段隱藏在各種圖像后面的垃圾文本中。惡意宏會解析并提取這些腳本,然后將其寫入c:\ wordpress \ about1.vbs中的文件中。
然后,第二個宏在文檔文本中查找字符串“ winmgmts:Win32_Process”,并使用它從磁盤執行about1.vbs。About1.vbs是前面提到的木馬下載程序,最終將Zeppelin勒索軟件下載到受害者的計算機上。
根據最近發布的分析,二進制文件休眠26秒,“試圖在自動沙箱中等待動態分析,然后運行勒索軟件可執行文件” 。“與以前的版本一樣,Zeppelin可執行文件會檢查計算機的語言設置和潛在受害者的IP地址的地理位置,以避免感染俄羅斯,白俄羅斯,哈薩克斯坦和烏克蘭的計算機。”
關于歸因,根據Vitali Kremez 先前的研究,Zeppelin是通過關聯企業分發的簡單代碼段:該惡意軟件是通過GUI向導生成的,并提供給分銷商以換取收益分成。
瞻博網絡的研究人員指出,最近的這場運動已經影響了約64個已知受害者和目標,表明有一定程度的針對性。它可能已在6月4日開始,當時惡意軟件使用的命令和控制(C2)服務器已注冊;被動DNS數據顯示它至少運行到8月28日;根據被動DNS數據,8月28日是C2域的最新名稱解析。
該帖子稱:“ 這可能表明該惡意軟件在最近幾天沒有感染新網絡。”
Zeppelin是基于Delphi的勒索軟件即服務(RaaS)家族的一種變體,最初稱為Vega或VegaLocker,根據BlackBerry Cylance的說法,它們于2019年初出現在俄羅斯Yandex.Direct的廣告中。與前身不同,Zeppelin的定位更具針對性,并首先瞄準了歐洲和美國的定位技術和醫療保健公司
