BlackCat再升级！可用全新Munchkin工具进行隐形攻击

BlackCat/ALPHV 勒索软件最近开始使用一种名为 "Munchkin "的新工具，该工具可利用虚拟机在网络设备上隐秘地部署加密程序。

同时，此工具还可以让 BlackCat 实现远程系统运行、加密远程服务器消息块 (SMB) 或通用互联网文件 (CIFS) 网络共享。

在 BlackCat 已经非常广泛和先进的武器库中引入 Munchkin，对网络犯罪分子来说极具具吸引力。

Palo Alto Networks Unit 42发现，BlackCat 的新 Munchkin 工具是一个定制的 Alpine OS Linux 发行版，以iSO 文件的形式提供。

威胁行为者入侵设备后，会安装 VirtualBox 并使用 Munchkin ISO 创建一个新的虚拟机。而该 Munchkin 虚拟机包含一套脚本和实用程序，允许威胁者转储密码、在网络上横向传播、构建 BlackCat "Sphynx "加密器有效载荷并在网络计算机上执行程序。

启动后，它会将根密码更改为只有攻击者知道的密码，并利用 "tmux "实用程序执行名为 "controller "的基于 Rust 的恶意软件二进制文件，开始加载攻击中使用的脚本。

下面列出了这些脚本：

映像文件系统的结构，图源:Unit 42

“控制器”使用捆绑的配置文件，而这些文件提供访问令牌、受害者凭据和身份验证秘密，以及配置指令、文件夹和文件块列表、要运行的任务和要加密的目标主机。

此配置用于在/payloads/目录下生成自定义BlackCat加密器可执行文件，然后将其推送到远程设备以加密文件或加密SMB和CIFS网络共享。

Munchkin攻击图，图源：Unit 42

Unit 42在恶意软件的代码中发现了一条BlackCat作者发给其合作伙伴的消息，特别强调了聊天访问令牌泄露的风险。由于配置缺乏加密系统，因此该作者警告他们不要将iSO留在目标系统上。

影响勒索软件受害者和网络犯罪分子的一个常见问题是，样本通常会通过恶意软件分析网站泄露。而通过分析勒索软件样本，研究人员就能够可以完全地访问勒索软件团伙与受害者之间的协商聊天内容。

为了防止这种情况，附属程序在启动时会在运行时提供 Tor 协商网站访问令牌。这样的话即使受害者可以访问攻击中使用的样本，也不可能访问受害者的协商聊天内容。

基于此，威胁者警告附属机构必须删除 Munchkin 虚拟机和 ISO，以防止这些访问令牌泄漏。同时，开发人员还提供了使用 "控制器 "监控攻击进度和启动任务的说明和技巧。

恶意软件中包含的说明，图源：Unit 42

有了Munchkin 后，BlackCat 勒索软件的附属程序能够更轻松的执行各类任务，比如绕过保护受害者设备的安全解决方案。这是因为虚拟机提供了一层与操作系统的隔离层，能够使安全软件的检测和分析更具挑战性。

Alpine OS 的选择确保了较小的数字足迹，而且该工具的自动操作减少了其他无用的干预需求。

Munchkin 采用的模块化设计，拥有多种 Python 脚本，其不仅拥有独特的配置还可以根据需求交换有效载荷的能力，能够让工具易于调整以适应特定目标或活动。

BlackCat 出现于 2021 年底，是一款基于 Rust 的复杂勒索软件，同时也是 BlackMatter 和 Darkside 的后继者。

BlackCat 定期推出高级功能，如高度可配置的间歇加密、数据泄漏 API、Impacket 和 Remcom 嵌入、支持自定义凭据的加密器、签名内核驱动程序以及数据渗透工具的升级，至今为止的发展轨迹都很顺利。

2023 年，BlackCat 已针对多家企业、机构等发起了多次勒索行动，比如佛罗里达巡回法院、米高梅度假村、Motel One、精工、雅诗兰黛、HWL Ebsworth、西部数据和 Constellation Software。

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”，申请加入群聊】

https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/