上周资安业者Orange Cyberdefense揭露针对这起事故的发现,趋势科技威胁研究员Daniel Lunghi指出,是他们在两起发生在欧洲的攻击事件当中,都采用相似的C2伺服器及战术、手法、流程(TTP),而且都使用ShadowPad,研判很有可能是同一组人马所为。
研究人员进一步调查,总共确认有21家公司在近7个月遭到攻击,其中9家于欧洲、8家在亚洲、3家在中东,以及1家南美公司。这些受害企业分布于8种产业,但有11家是制造业为大宗。
对于资安事故的发生,趋势科技指出,骇客起初是攻入设置弱密码的管理员帐号,透过VPN存取受害组织的网路环境。在其中一起事故里,攻击者疑似事先取得有效凭证,从而绕过了多因素验证(MFA)机制。
一旦成功进入内部网路环境,攻击者就会利用管理员权限部署ShadowPad,在部分事故当中,他们甚至会将恶意程式植入网域伺服器,而有可能借此扩大感染范围。
究竟攻击者的目的是什么?研究人员表示不清楚,但推测很有可能是为了窃取智慧财产。
这波攻击行动使用的勒索软体,单就载入过程而言,就使用三种元件。骇客滥用具有中国资安业者火绒合法签章的执行档usysdiag.exe,以侧载的方式执行恶意DLL档案sensapi.dll,最终于记忆体内载入有效酬载sensapi.dll,将受害电脑的档案加密,并加上.locked的附档名,然后留下勒索讯息。
这起资安事故过程中,趋势科技也发现几个非典型的迹象,有刻意混淆与误导调查分析的意图。例如,骇客在勒索讯息的HTML档案里,留下销售Kodex Evil Extractor恶意软体的网站资讯,但研究人员根据勒索讯息比对,发现内容与正牌的勒索软体Evil Extractor完全不同,因此研判骇客意图误导研究人员,刻意留下Evil Extractor勒索讯息的HTML架构。此外,这些骇客的加密货币都没有赎金进帐,上述情况也突显勒索软体攻击很可能并非骇客的主要目的。