Nailaolock 勒索軟體針對歐盟相關醫療機構
Orange Cyberdefense CERT 發現了一項惡意軟體活動,追蹤定義為「Green Nailao」活動,該活動於 2024 年底針對包括歐洲醫療保健機構,使用ShadowPad、PlugX和先前未曾記錄的 NailaoLocker 勒索軟體。Orange Cyberdefense CERT調查了四位疑似網路攻擊者,他們的初始存取載體類似,都是對Check Point VPN設備進行攻擊。專家認為,威脅行為者利用了具有遠端存取VPN或行動存取功能的Check Point安全閘道中的Zero Day漏洞CVE-2024-24919。
「2024年5月28日,Orange Cyberdefense CERT發現遠端存取VPN社群和行動存取軟體刀片(Mobile Access Software Blade)註1中的IPsec VPN安全閘道存在漏洞 (CVE-2024-24919)。利用此漏洞可以存取安全閘道上的敏感資訊。經閱讀Check Point安全閘道的諮詢報告。「在某些情況下,這可能會導致攻擊者橫向移動並獲得網域管理員權限」。威脅行為者可以利用此漏洞提取閘道訊息,包括所有本機帳戶的密碼加密雜湊值。「由於所有觀察到的Check Point實例在被入侵時仍然容易受到攻擊,CVE-2024-24919 可能使威脅行為者能夠檢索用戶憑證並使用合法帳戶連接到 VPN」。
此攻擊活動背後的威脅行為者使用RDP進行橫向移動,並側載惡意DLL來部署 ShadowPad和PlugX,利用合法的可執行檔案實現持久性和權限提升。ShadowPad是一種模組化後門程式,自2015年以來一直被視為與中國APT組織有相關連。威脅行為者試圖洩露資料,捕獲「ntds.dit」檔案。專家還發現攻擊者使用WMI透過側載方式部署NailaoLocker,該側載程式附帶一個已簽署的中文可執行檔。「一旦側加載,NailaoLoader DLL就會使用 GetModuleHandleW API檢索呼叫模組位址並檢查某些位元組值,以確保它由正確的二進位檔案載入,並啟動惡意軟體程式。「控制的值實際上是合法二進位檔案中LoadLibrary函數呼叫的返回位址,然後用於重寫指令並跳到惡意軟體主函數」。(如圖1)
圖1: NailaoLoader和NailaoLocker的執行流程
惡意程式碼建立互斥鎖為「Global\lockv7」,該互斥鎖會先檢查sensapi.dll是否已被加載,然後再將其從記憶體中移除並從磁碟中刪除。NailaoLocker勒索病毒是用C++寫的,研究人員表示,惡意軟體並不複雜。NailaoLocker勒索軟體並不會掃描網路共用,無法停止可能封鎖某些重要檔案加密的服務或流程,也不會控制是否正在被偵錯。勒索軟體將「.locked」副檔名附加到加密檔案的檔案名稱之後。該惡意軟體使用非對稱加密演算法AES-256-CTR。並在「%ALLUSERPROFILE% unlock_please_view_this_file_unlock_please_view_this_file_u」位置放置一封勒索信。(如圖2)
圖2:NailaoLocker勒索信
以比特幣支付贖金,勒索金額會通知將受害者引導至ProtonMail地址,但並未提及資料竊取,這對於現代勒索軟體攻擊來說並不常見。Orange Cyberdefense CERT將這些攻擊與與中國相關的APT 關聯,但指出無足夠的證據將其歸咎於某些特定團體。Green Nailao疑似與中國的入侵策略相一致,使用ShadowPad 和DLL側載。儘管與過去的間諜活動類似,但其勒索軟體的使用卻不同尋常。可能的動機包括假旗行動(false-flag)註2分散注意力、雙重目的的金融和間諜攻擊,或獨立行為者利用國家工具牟利。儘管與已知群體有相重疊,但Green Nailao至今仍然未被確定歸屬。
「包括中國在內的國家結盟團體針對醫療相關機構的行為並不是什麼新鮮事。正如法國國家網路安全局 (ANSSI) 在《醫療保健領域威脅情勢》中所言,雖然此類活動有時可能是基於機會主義隨機式,但它們通常允許威脅團體存取資訊系統,隨後可用於開展其他網路攻擊行動。報告最後總結。「例如,Mandiant 的研究人員發現,APT41 在2020年初針對了美國製藥機構,而APT18或 APT10在過往時間中均與入侵事件有關」。
註1:行動存取軟體刀片(Mobile Access Software Blade):Check Point推出全新Check Point Mobile Access Software Blade,可於行動裝置上快速且安全存取企業電子郵件、資料及商業應用軟體。整合了先進的SSL VPN功能及加密技術的Mobile Access Software Blade,當使用者於遠端連結企業網路時,能夠即時提供資訊安全威脅的防護。
註2:
假旗行動(英語:false flag)是隱蔽行動的一種,是一種旨在掩蓋實際責任來源並將責任嫁禍於另一方的行為。