而对于这些骇客攻击的标的,原本主要是针对Windows电脑而来,但到了10月底,这些骇客进一步打造Linux版变种,用于攻击VMware ESXi虚拟化平台,使得该勒索软体破坏范围更为广泛。
研究人员对于勒索软体程式进行分析,指出Windows版勒索软体是以外流的LockBit 3.0建置工具开发而成,能在执行档案前进行一系列作业,以便加密工作顺利执行。
其中包括透过指令码终止特定处理程序,并删除磁碟区阴影复制(Shadow Copy)的备份资料,并检查是否取得特殊权限,以便后续将档案加密并留下勒索讯息,最终清理作案痕迹,将指令码及勒索软体删除,然后将电脑关机。
至于Linux版变种,研究人员指出,骇客并未如同Windows版采用高度混淆处理,以及防除错等反分析的机制。再加上这种针对虚拟化平台的勒索软体当中,通常会具备的终止虚拟机器(VM)功能,并未实际提供,因此他们推测,Linux版勒索软体仍在开发的阶段。
针对攻击者锁定兆勤防火墙做为入侵受害组织的管道,研究人员提出他们掌握的线索。首先,他们在11月4日确认至少有8家企业受害,其中一家在8月受害的企业,当时利用该厂牌防火墙架设IPSec VPN,另有2家企业在遇害后,换成其他品牌的防火墙。
他们也提及9月下旬兆勤论坛有许多防火墙用户通报,搭配5.38版韧体的防火墙遭到入侵,骇客植入名为zzz1.conf的档案,并建立名为OKSDW82A的帐号。研究人员针对上述CONF档案进行分析,指出他们经过Base64编码解密,取得针对MIPS架构系统打造的ELF执行档,研究人员推测,此档案可能与兆勤欧洲分公司遭入侵有关。
再加上10月9日兆勤发布的资安公告当中,提及有骇客针对该厂牌防火墙发动攻击,借由特定弱点建立SUPPOR87、SUPPOR817,或是VPN的使用者帐号,根据上述资讯,研究人员认为勒索软体Helldown入侵受害组织网路环境的管道,就是利用兆勤防火墙的弱点而得逞。
他们提及另一家资安业者Truesec经手的勒索软体Helldown攻击事件回应,骇客利用兆勤防火墙漏洞入侵,并指出其战术、手法、流程(TTP),与他们从兆勤论坛用户得知的一致。攻击者利用SSL VPN存取名为OKSDW82A的帐号,滥用网域控制器的LDAP同步机制取得相关帐密,并进一步侦察,直到遭到EDR系统拦截才被中断。
针对上述情况我们也向兆勤进行确认,在截稿之前尚未得到回应。