趋势科技研究人员警告称,一个名为 Agenda 的新勒索软件系列已被用于攻击亚洲和非洲的组织。
趋势科技研究人员最近发现了一个新的目标勒索软件,被跟踪为 Agenda,它是用 Go 编程语言编写的。该勒索软件被用于针对该公司的一位客户进行有针对性的攻击。对该事件的调查显示,攻击者使用面向公众的 Citrix 服务器作为入口点,他们可能使用有效帐户访问该服务器并在受害者网络内进行横向移动。
新的勒索软件系列被用于袭击亚洲和非洲企业的攻击。Agenda 这个名称来自一个名为“Qilin”的用户的暗网帖子,该用户可能与勒索软件分销商有关,并通过勒索票据。
议程勒索软件
Agenda 勒索软件可以在安全模式下重新启动系统,尝试停止许多特定于服务器的进程和服务,并且可以在多种模式下运行。研究人员注意到,他们分析的样本是为每个受害者定制的,所有样本都包括唯一的公司 ID 和泄露的帐户详细信息。
收集的样本是 64 位 Windows PE(便携式可执行文件)文件,用于针对印度尼西亚、沙特阿拉伯、南非和泰国的医疗保健和教育组织。
“每个勒索软件样本都是为目标受害者定制的。我们的调查表明,样本泄露了账户、客户密码和用作加密文件扩展的唯一公司 ID。” 阅读趋势科技发布的报告。“此外,要求的赎金金额因公司而异,从 5 万美元到 80 万美元不等。”
趋势科技发布的分析详细介绍了勒索软件支持的命令,恶意代码能够Agenda 支持多个命令行参数,构建运行时配置以定义其行为,通过执行 vssadmin.exe delete shadows /all /quiet 删除卷影副本,终止与防病毒软件和服务相关的进程,并创建自动启动条目指向自己的副本。
专家注意到,Agenda 更改了默认用户的密码,并启用了使用新登录凭据自动登录以逃避检测。Agenda 以安全模式重新启动受害者的机器,然后在重新启动时加密文件,这是其他勒索软件团伙 REvil 采用的技术,
攻击者使用泄露的帐户通过 RDP 访问 Active Directory,然后使用扫描工具 Nmap.exe 和 Nping.exe扫描网络。他们通过组策略域机器推送计划任务。
“该勒索软件具有通过利用设备的“安全模式”功能在不被注意的情况下继续其加密程序来逃避检测的技术。勒索软件还利用本地帐户以欺骗用户身份登录并执行勒索软件二进制文件,如果登录尝试成功,则进一步加密其他机器。它还终止了许多进程和服务,并通过将 DLL 注入 svchost.exe 来确保持久性。” 趋势科技得出结论。
新的勒索软件系列被用于袭击亚洲和非洲企业的攻击。Agenda 这个名称来自一个名为“Qilin”的用户的暗网帖子,该用户可能与勒索软件分销商有关,并通过勒索票据。
议程勒索软件
Agenda 勒索软件可以在安全模式下重新启动系统,尝试停止许多特定于服务器的进程和服务,并且可以在多种模式下运行。研究人员注意到,他们分析的样本是为每个受害者定制的,所有样本都包括唯一的公司 ID 和泄露的帐户详细信息。
收集的样本是 64 位 Windows PE(便携式可执行文件)文件,用于针对印度尼西亚、沙特阿拉伯、南非和泰国的医疗保健和教育组织。
“每个勒索软件样本都是为目标受害者定制的。我们的调查表明,样本泄露了账户、客户密码和用作加密文件扩展的唯一公司 ID。” 阅读趋势科技发布的报告。“此外,要求的赎金金额因公司而异,从 5 万美元到 80 万美元不等。”
趋势科技发布的分析详细介绍了勒索软件支持的命令,恶意代码能够Agenda 支持多个命令行参数,构建运行时配置以定义其行为,通过执行 vssadmin.exe delete shadows /all /quiet 删除卷影副本,终止与防病毒软件和服务相关的进程,并创建自动启动条目指向自己的副本。
专家注意到,Agenda 更改了默认用户的密码,并启用了使用新登录凭据自动登录以逃避检测。Agenda 以安全模式重新启动受害者的机器,然后在重新启动时加密文件,这是其他勒索软件团伙 REvil 采用的技术,
攻击者使用泄露的帐户通过 RDP 访问 Active Directory,然后使用扫描工具 Nmap.exe 和 Nping.exe扫描网络。他们通过组策略域机器推送计划任务。
“该勒索软件具有通过利用设备的“安全模式”功能在不被注意的情况下继续其加密程序来逃避检测的技术。勒索软件还利用本地帐户以欺骗用户身份登录并执行勒索软件二进制文件,如果登录尝试成功,则进一步加密其他机器。它还终止了许多进程和服务,并通过将 DLL 注入 svchost.exe 来确保持久性。” 趋势科技得出结论。
