網(wǎng)絡(luò)安全服務(wù)商SentinelOne公司的研究部門(mén)SentinelLabs發(fā)現(xiàn)了一種新型的Linux版IceFire勒索軟件，該勒索軟件利用IBM公司的Aspera Faspex文件共享軟件的一個(gè)漏洞。

該漏洞是最近修補(bǔ)的Aspera Faspex漏洞CVE-2022-47986。

到目前為止，SentinelLabs檢測(cè)到的IceFire惡意軟件只針對(duì)Windows系統(tǒng)進(jìn)行攻擊，它使用了iFire擴(kuò)展，這與MalwareHunterTeam(分析和跟蹤威脅的獨(dú)立網(wǎng)絡(luò)安全研究人員的組織)在今年2月發(fā)布的研究報(bào)告一致，該報(bào)告稱IceFire正在將重點(diǎn)轉(zhuǎn)移到Linux企業(yè)系統(tǒng)。

與以往攻擊科技公司的行為不同，Linux版本的IceFire開(kāi)始攻擊媒體和娛樂(lè)公司。

根據(jù)SentinelLabs發(fā)布的這份報(bào)告，網(wǎng)絡(luò)攻擊者的策略與“大型游戲狩獵”(BGH)勒索軟件家族一致，包括雙重勒索、針對(duì)大型企業(yè)的攻擊、使用大量持久性機(jī)制以及刪除日志文件等逃避策略。雙重勒索發(fā)生在網(wǎng)絡(luò)攻擊者竊取數(shù)據(jù)并加密數(shù)據(jù)的同時(shí)，通常要求支付雙倍的贖金。

IceFire Linux變體的特點(diǎn)

IceFire Linux版本是一個(gè)2.18MB的64位ELF(可執(zhí)行和可鏈接)二進(jìn)制文件，使用開(kāi)源GCC(GNU編譯器集合)編譯，用于AMD 64位系統(tǒng)處理器架構(gòu)。有效負(fù)載也在基于英特爾的Ubuntu和Debian發(fā)行版上成功運(yùn)行。

IceFire Linux版本被人發(fā)現(xiàn)部署在運(yùn)行CentOS的主機(jī)上，CentOS是一種開(kāi)源Linux發(fā)行版，運(yùn)行的是易受攻擊的IBM Aspera Faspex文件服務(wù)器軟件。

利用這一漏洞，系統(tǒng)下載了IceFire有效載荷并執(zhí)行它們來(lái)加密文件，并使用“.ifire”擴(kuò)展名重命名文件，之后，有效載荷被設(shè)計(jì)為自行刪除以避免檢測(cè)。

IceFire Linux有效負(fù)載的腳本排除了某些系統(tǒng)關(guān)鍵文件和路徑的加密，包括以下文件擴(kuò)展名：.cfg、.o、.sh、.img、.txt、.xml、.jar、.pid、.ini、.pyc、.a、.so、.run、.env、.cache、.xmlb、.p，以及路徑/boot、/dev/、/etc、/lib、/proc、/srv、/sys、/usr、/var、/run。

這樣做是為了使系統(tǒng)的關(guān)鍵部分沒(méi)加密并保持運(yùn)行。

在IceFire Linux變體中觀察到的另一種新策略是利用漏洞，而不是傳統(tǒng)地通過(guò)網(wǎng)絡(luò)釣魚(yú)消息或通過(guò)某些利用后的第三方框架(包括Empire、Metaspoilt、Cobalt Strike)進(jìn)行傳遞。

IceFire Payload使用RSA加密和Tor網(wǎng)絡(luò)

IceFire有效載荷托管在Digital Ocean droplet上，這是一個(gè)托管在Digital Ocean云計(jì)算平臺(tái)上的虛擬機(jī)，其IP地址為159.65.217.216。SentinelLabs建議對(duì)這一IP地址使用通配符，以防參與者轉(zhuǎn)向一個(gè)新的交付域。通配符是指在安全策略或配置規(guī)則中使用一個(gè)通配符來(lái)覆蓋多個(gè)設(shè)備。

IceFire有效載荷使用RSA加密算法，將RSA公鑰硬編碼到二進(jìn)制文件中。此外，有效載荷從二進(jìn)制文件中的嵌入式資源中刪除勒索通知，并將其寫(xiě)入每個(gè)文件加密目標(biāo)目錄。

IceFire贖金請(qǐng)求消息包括一個(gè)預(yù)定義的用戶名和密碼，必須用于訪問(wèn)贖金支付網(wǎng)站，該網(wǎng)站托管在Tor隱藏服務(wù)上(網(wǎng)站和服務(wù)托管在去中心化的Tor網(wǎng)絡(luò)上，以支持匿名瀏覽)。

與Windows相比，Linux對(duì)勒索軟件帶來(lái)了更多的挑戰(zhàn)，這是因?yàn)樵S多Linux系統(tǒng)都是服務(wù)器，不太容易受到網(wǎng)絡(luò)釣魚(yú)或下載驅(qū)動(dòng)等常見(jiàn)感染方法的影響。這就是網(wǎng)絡(luò)攻擊者會(huì)利用應(yīng)用程序中漏洞的原因，IceFire勒索軟件組織就是一個(gè)例子，該組織利用IBM Aspera漏洞部署其有效載荷。