自從 2022 年 12 月來(lái)，研究人員觀察到一個(gè)身份不明的攻擊者通過(guò) MortalKombat 勒索軟件和 Laplas Clipper 惡意軟件來(lái)竊取加密貨幣。

攻擊鏈

攻擊從釣魚郵件開(kāi)始，多階段逐步投遞勒索軟件或者惡意軟件。電子郵件附件 ZIP 文件中包含 BAT 腳本，下載另一個(gè)壓縮文件就會(huì)釋放 Laplas Clipper 惡意軟件的 Go 變種或是 MortalKombat 勒索軟件。

攻擊鏈

惡意郵件

攻擊者在釣魚郵件中冒充合法的全球加密貨幣支付提供商 CoinPayments，郵件主題為 CoinPayments.net Payment Timed Out且發(fā)件人為 noreply[at]CoinPayments.net。惡意 ZIP 文件中附帶了郵件正文中提到的交易 ID，引誘收件人解壓壓縮文件查看文件內(nèi)容。

釣魚郵件

BAT 腳本

BAT 腳本使用無(wú)文件攻擊從攻擊者控制的下載服務(wù)器下載惡意 ZIP 文件，釋放名為 file.pdf.exe的惡意可執(zhí)行文件。BAT 腳本會(huì)使用 Windows 命令啟動(dòng)釋放的惡意軟件，并刪除下載的 ZIP 文件與載荷。

下載并執(zhí)行 MortalKombat 勒索軟件

下載并執(zhí)行 Laplas Clipper 惡意軟件

獲取加密貨幣收益

MortalKombat 勒索軟件

MortalKombat 是一種新型勒索軟件，于 2023 年 1 月首次被發(fā)現(xiàn)。MortalKombat 會(huì)加密失陷主機(jī)上的各種文件，例如系統(tǒng)文件、應(yīng)用程序、數(shù)據(jù)庫(kù)、備份和虛擬機(jī)文件，以及映射為失陷主機(jī)邏輯驅(qū)動(dòng)器的遠(yuǎn)程文件。盡管 MortalKombat 并沒(méi)有刪除卷影副本，但還是會(huì)從 Windows 啟動(dòng)中刪除應(yīng)用程序與文件夾并禁止在失陷主機(jī)上運(yùn)行命令。

勒索信息與壁紙

攻擊者使用 qTOX 與受害者進(jìn)行通信，其 ID 為 DA639EF141F3E3C35EA62FF284200C29FA2E7E597EF150FDD526F9891CED372CBB9AB7B8BEC8。此外，還提供了電子郵件地址 hack3dlikeapro[at]proton[.]me作為代替。

Laplas Clipper 竊密木馬

Laplas Clipper 是 2022 年 11 月首次發(fā)現(xiàn)的竊密木馬，其屬于 Clipper 惡意軟件家族。Laplas Clipper 會(huì)使用正則表達(dá)式來(lái)監(jiān)控失陷主機(jī)的剪貼板，將錢包地址發(fā)送給攻擊者。攻擊者將一個(gè)相似的錢包地址覆蓋到失陷主機(jī)的剪貼板上，進(jìn)行欺詐交易。

購(gòu)買 Laplas Clipper

Laplas Clipper 的開(kāi)發(fā)人員正在積極開(kāi)發(fā)新變種。2022 年 12 月 20 日，開(kāi)發(fā)人員在 Telegram 頻道中宣布 C++ 編寫的新變種面世并以 EXE 和 DLL 的形式提供。

開(kāi)發(fā)者公告

攻擊基礎(chǔ)設(shè)施

研究人員發(fā)現(xiàn)一個(gè)波蘭的 IP 地址 193[.]169[.]255[.]78 登錄攻擊者控制的服務(wù)器，以下載 MortalKombat 勒索軟件。同時(shí)，該 IP 地址還在全網(wǎng)掃描 3389 端口的 RDP 服務(wù)。

另一個(gè) IP 地址 144[.]76[.]136[.]153 從關(guān)聯(lián)的 transfer[.]sh 服務(wù)器下載 Laplas Clipper，攻擊中使用的 Laplas Clipper 與綁定在 clipper[.]guru 的 Clipper 進(jìn)行通信。

MortalKombat 勒索軟件技術(shù)分析

MortalKombat 勒索軟件是一個(gè) 32 位 Windows 可執(zhí)行文件，會(huì)使用隨機(jī)文件名將自身復(fù)制到本地用戶配置文件的應(yīng)用程序臨時(shí)文件夾中，分析時(shí)的名為 E7OKC9s3llhAD13.exe。

MortalKombat 將創(chuàng)建時(shí)間修改為 Wednesday, September 7, 2022, 8:06:35 PM，但尚不能確定硬編碼時(shí)間的意義。

目標(biāo)擴(kuò)展名

勒索軟件通過(guò)創(chuàng)建名為 Alcmeter 的注冊(cè)表項(xiàng)，并在本地用戶配置文件的應(yīng)用程序臨時(shí)文件夾中添加勒索軟件可執(zhí)行文件的路徑來(lái)進(jìn)行持久化。

創(chuàng)建的注冊(cè)表鍵值對(duì)

MortalKombat 檢查所有文件，根據(jù)擴(kuò)展名列表來(lái)進(jìn)行匹配。匹配成功，加密文件的擴(kuò)展名即為 ..Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware。同時(shí)，每個(gè)文件夾中都會(huì)創(chuàng)建贖金勒索文件 HOW TO DECRYPT FILES.txt。

失陷主機(jī)的回收站

最后，勒索軟會(huì)刪除應(yīng)用程序與文件夾，清除相關(guān)痕跡。

刪除函數(shù)

MortalKombat 是 Xorist 家族的一部分

經(jīng)過(guò)分析，MortalKombat 與 Xorist 存在許多相似之處。Xorist 首次出現(xiàn)在 2010 年，并且以定制多變著稱。

變種進(jìn)化時(shí)間線

研究人員發(fā)現(xiàn)了泄露的 Xorist 構(gòu)建工具，使用該工具可以生成勒索軟件可執(zhí)行文件，攻擊者可以進(jìn)行定制化。

構(gòu)建工具

MortalKombat 文件與 Xorist 變種及其構(gòu)建工具生成的可執(zhí)行文件存在許多相似之處。

相似之處

研究人員十分確認(rèn) MortalKombat 勒索軟件屬于 Xorist 家族。

相似之處

Laplas Clipper 技術(shù)分析

Clipper 在解碼經(jīng)過(guò) base64 編碼的字符串后，再使用密鑰 \x3F 異或解密獲取其他內(nèi)容。

解密函數(shù)

部分字符串解密如下所示：

字符串解密

Clipper 下發(fā)的匹配加密貨幣錢包地址的正則表達(dá)式如下所示：

匹配的加密錢包

研究人員創(chuàng)建了兩個(gè)虛擬以太坊錢包，Clipper 將虛擬錢包地址發(fā)送給攻擊者，同時(shí)收到了與原始錢包地址相似的錢包地址。

復(fù)制錢包地址

攻擊者返回的錢包地址是有效的，狀態(tài)如下所示：

錢包詳細(xì)信息

受害者分布

研究人員發(fā)現(xiàn)，攻擊的受害者主要位于美國(guó)、英國(guó)、土耳其與菲律賓，其他國(guó)家收影響較少。

全球受害者分布情況