研究人员近期发现了针对软件行业与教育行业的 Tycoon 勒索软件正在展开行动,该勒索软件使用 Java 编写并具备跨平台能力。
“
事件速览
”
近日,一种基于 Java 开发的新型勒索软件正在针对教育行业与软件公司展开有针对性的攻击。这种被称为 Tycoon 的恶意软件使用一种少见的 Java 映像格式来绕过安全软件。
毕马威英国 络响应服务团队最早在针对教育机构的攻击中发现该恶意软件,黑莓情 与研究团队针对这一威胁进行了深入的分析。分析人员称,自从 2019 年 12 月以来,Tycoon勒索软件就一直都在活跃着,而且横跨 Windows 与Linux 两大平台。与此同时,其受害者的数量是极为有限的,表明这很可能是有针对性的攻击。
“
攻击简介
”
据悉,攻击者使用 RDP 连接到目标系统,获取本地管理员凭据,安装恶意软件并禁用安全软件,最后放置后门离开。七日后,攻击者再次通过 RDP 连接进来,通过 RDP 进行横向移动。黑莓团队指出,RDP 连接是手动启动的。随后,运行 hacker-as-a-service 进程并禁用安全软件,每个失陷主机上都按照相同的流程执行勒索软件,加密文件扩展名为 .thanos、.grinch、.redrum。
Tycoon 被部署作为木马化的 JRE,并且编译为 Java 映像文件(JIMAGE),这是一种存储自定义 JRE 映像的特殊文件格式,旨在运行时由 JVM 使用。JIMAGE 中包含特定JRE 构建 Java 模块的资源与类文件。与更为流行的JAR 格式不同,JIMAGE 主要在 JDK 中使用,开发人员很少使用。
黑莓威胁狩猎与情 主管 Claudiu Teodorescu 表示:“由于 Java 的内部较多地使用了JIMAGE,这确实是一种非常好的隐藏方式”。很容易会认为该操作来自内部开发人员,而不是认为这与入侵有关。
黑莓警卫服务部副总裁 Eric Milam 认为:“对勒索软件来说,使用 JIMAGE 是令人耳目一新的”。JIMAGE通常不会被安全软件解析,而且是 SDK 的标准组件。除了Windows 之外,研究人员还发现了 Shell 脚本会触发勒索软件,这表明 Linux 服务器也是勒索的目标。
攻击者使用 RSA 加密 AES 密钥,因此文件解密需要获得攻击者的 RSA 私钥。研究人员指出,已有一个 Tycoon 的受害者发布了 RSA 私钥,该私钥可以解密最早版本的 Tycoon(扩展名为 .redrum)的加密文件。研究人员还注意到 Tycoon 与早前复活的Dharma/CrySIS 勒索软件之间存在关联,在 Tycoon 最初出现时,使用的 .redrum 扩展名在早期的 Dharma/CrySIS 也存在;而与 Tycoon 一样,Dharma/CrySIS 也利用 RDP 的弱口令进行入侵。
“
措施建议
”
1、企业建立完善的研发工具配套软件的管控制度,禁止私自下载和使用不安全源的任何软件;
2、建立企业自身的可信研发工具和安全组件库、软件库;
3、建立针对开源软件以及第三方库软件的检测制度;
4、对于服务器日志、端口等进行监控,拒绝不可信的连接请求和处理;
5、开展企业内训,提升每位员工的安全意识、加强风险防范;
6、制定安全事件的响应机制和紧急处理流程。
中科天齐具有专利技术的代码安全解决方案,能够帮助企业管理者减少信息化风险,真正实现内生安全。
整理 | 悟空同学
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!