近日，有觀察人士發(fā)現(xiàn)，勒索軟件HelloXD新部署了一個后門——MicroBackdoor，旨在加強其對受感染主機的持續(xù)遠程訪問。

勒索軟件HelloXD首次出現(xiàn)在威脅場景發(fā)生于2021年11月30日，它借鑒了勒索軟件Babuk的代碼。自2021年9月以來，Babuk的身影就一直活躍在俄語黑客論壇之中。不同于其他勒索軟件，該勒索團伙并不通過泄密網(wǎng)站聯(lián)系受害者，而是通過即時聊天系統(tǒng)TOX和基于洋蔥模型的通訊實體工具進行聯(lián)系。

惡意軟件HelloXD主要針對的是Windows和Linux 系統(tǒng)。根據(jù)Palo Alto Networks威脅情報團隊Unit 42的觀察，在最近一次的攻擊中，攻擊者部署了開源后門MicroBackdoor，以保持對受感染主機的持續(xù)訪問。

該后門允許攻擊者瀏覽文件系統(tǒng)、上傳與下載文件、執(zhí)行命令，并從受感染的系統(tǒng)中將自己的攻擊記錄刪除。對后門MicroBackdoor的樣本分析顯示，配置中包含一個嵌入的IP地址。研究人員推測，該IP地址可能是屬于開發(fā)人員x4k（又名L4ckyguy、unKn0wn、unk0w、_unkn0wn或x4kme）的。

“在我們觀察的樣本中，贖金記錄遭到了修改。在第一個樣本中，贖金記錄僅與TOX ID相關(guān)聯(lián)，而后來觀察到的樣本中，贖金記錄不僅鏈接到TOX ID，同時還連接到了一個洋蔥域名，這就和在先前樣本中觀察到的有所不同。而截至本文撰寫時，該網(wǎng)站已經(jīng)關(guān)閉”，在PaloAlto Networks發(fā)布的分析報告中如此寫道。

此外，研究人員還發(fā)現(xiàn)，攻擊者對勒索軟件HelloXD的二進制文件主要采用了兩個打包程序，第一個是UPX的改進版，第二個是一個兩層組成的打包程序，其中兩層中也包含了與第一個相同的自定義UPX打包程序。

Unit42的研究人員共觀察到兩種不同的HelloXD公開樣本，這表明這個惡意軟件仍在開發(fā)中。第一個樣本非常簡陋，混淆度最小，通常會搭配一個混淆加載器，該加載器負責在將其注入內(nèi)存之前通過使用WinCrypt API對其進行解密。第二個樣本則模糊得多，由打包程序而不是加載程序在內(nèi)存中執(zhí)行。

值得一提的是，這兩個樣本實現(xiàn)了類似的功能，因為它們都借用了泄露的Babuk源代碼。

“盡管HelloXD仍然是一個處于初始階段的勒索軟件家族，但它已經(jīng)展示出有對組織機構(gòu)產(chǎn)生影響的打算。雖然勒索軟件早已不是什么新鮮事了，可是根據(jù)我們的研究顯示，這個勒索軟件很可能是由名為x4k的攻擊者開發(fā)的。這個攻擊者在各種黑客論壇上都聲名顯赫，而且似乎擁有俄羅斯血統(tǒng)”， PaloAlto Networks發(fā)布的分析報告總結(jié)道，“我們還發(fā)現(xiàn)了x4k的其他惡意軟件活動，最早可追溯至2020 年?！?/p>