Zeppelin Ransomware 浪潮席卷而来随身携带新木马
Zeppelin Ransomware在沉寂数月后,又重新成为人们关注的焦点。
Juniper Threatlab研究人员在8月发现了一波攻击,利用了新的木马下载器。就像在2019年末观察到的最初的Zeppelin浪潮一样,这些邮件首先是带有Microsoft Word附件(主题为“invoices”)的网络钓鱼电子邮件,其中带有恶意宏。用户启用宏后,感染过程即会开始。
在最新的活动中,Visual Basic脚本的片段隐藏在各种图像后面的垃圾文本中。恶意宏会解析并提取这些脚本,然后将其写入c:\ wordpress \ about1.vbs中的文件中。
然后,第二个宏在文档文本中查找字符串“ winmgmts:Win32_Process”,并使用它从磁盘执行about1.vbs。About1.vbs是前面提到的木马下载程序,最终将Zeppelin勒索软件下载到受害者的计算机上。
根据最近发布的分析,二进制文件休眠26秒,“试图在自动沙箱中等待动态分析,然后运行勒索软件可执行文件” 。“与以前的版本一样,Zeppelin可执行文件会检查计算机的语言设置和潜在受害者的IP地址的地理位置,以避免感染俄罗斯,白俄罗斯,哈萨克斯坦和乌克兰的计算机。”
关于归因,根据Vitali Kremez 先前的研究,Zeppelin是通过关联企业分发的简单代码段:该恶意软件是通过GUI向导生成的,并提供给分销商以换取收益分成。
瞻博网络的研究人员指出,最近的这场运动已经影响了约64个已知受害者和目标,表明有一定程度的针对性。它可能已在6月4日开始,当时恶意软件使用的命令和控制(C2)服务器已注册;被动DNS数据显示它至少运行到8月28日;根据被动DNS数据,8月28日是C2域的最新名称解析。
该帖子称:“ 这可能表明该恶意软件在最近几天没有感染新网络。”
Zeppelin是基于Delphi的勒索软件即服务(RaaS)家族的一种变体,最初称为Vega或VegaLocker,根据BlackBerry Cylance的说法,它们于2019年初出现在俄罗斯Yandex.Direct的广告中。与前身不同,Zeppelin的定位更具针对性,并首先瞄准了欧洲和美国的定位技术和医疗保健公司
