該漏洞是最近修補的Aspera Faspex漏洞CVE-2022-47986。

 

到目前為止，SentinelLabs檢測到的IceFire惡意軟件只針對Windows系統進行攻擊，它使用了iFire擴展，這與MalwareHunterTeam(分析和跟蹤威脅的獨立網絡安全研究人員的組織)在今年2月發布的研究報告一致，該報告稱IceFire正在將重點轉移到Linux企業系統。

 

與以往攻擊科技公司的行為不同，Linux版本的IceFire開始攻擊媒體和娛樂公司。

 

根據SentinelLabs發布的這份報告，網絡攻擊者的策略與“大型游戲狩獵”(BGH)勒索軟件家族一致，包括雙重勒索、針對大型企業的攻擊、使用大量持久性機制以及刪除日志文件等逃避策略。雙重勒索發生在網絡攻擊者竊取數據并加密數據的同時，通常要求支付雙倍的贖金。

 

 

IceFire Linux版本是一個2.18MB的64位ELF(可執行和可鏈接)二進制文件，使用開源GCC(GNU編譯器集合)編譯，用于AMD 64位系統處理器架構。有效負載也在基于英特爾的Ubuntu和Debian發行版上成功運行。

 

IceFire Linux版本被人發現部署在運行CentOS的主機上，CentOS是一種開源Linux發行版，運行的是易受攻擊的IBM Aspera Faspex文件服務器軟件。

 

利用這一漏洞，系統下載了IceFire有效載荷并執行它們來加密文件，并使用“.ifire”擴展名重命名文件，之后，有效載荷被設計為自行刪除以避免檢測。

 

IceFire Linux有效負載的腳本排除了某些系統關鍵文件和路徑的加密，包括以下文件擴展名：.cfg、.o、.sh、.img、.txt、.xml、.jar、.pid、.ini、.pyc、.a、.so、.run、.env、.cache、.xmlb、.p，以及路徑/boot、/dev/、/etc、/lib、/proc、/srv、/sys、/usr、/var、/run。

 

這樣做是為了使系統的關鍵部分沒加密并保持運行。

 

在IceFire Linux變體中觀察到的另一種新策略是利用漏洞，而不是傳統地通過網絡釣魚消息或通過某些利用后的第三方框架(包括Empire、Metaspoilt、Cobalt Strike)進行傳遞。

 

 

IceFire有效載荷托管在Digital Ocean droplet上，這是一個托管在Digital Ocean云計算平臺上的虛擬機，其IP地址為159.65.217.216。SentinelLabs建議對這一IP地址使用通配符，以防參與者轉向一個新的交付域。通配符是指在安全策略或配置規則中使用一個通配符來覆蓋多個設備。

 

IceFire有效載荷使用RSA加密算法，將RSA公鑰硬編碼到二進制文件中。此外，有效載荷從二進制文件中的嵌入式資源中刪除勒索通知，并將其寫入每個文件加密目標目錄。

 

IceFire贖金請求消息包括一個預定義的用戶名和密碼，必須用于訪問贖金支付網站，該網站托管在Tor隱藏服務上(網站和服務托管在去中心化的Tor網絡上，以支持匿名瀏覽)。

 

與Windows相比，Linux對勒索軟件帶來了更多的挑戰，這是因為許多Linux系統都是服務器，不太容易受到網絡釣魚或下載驅動等常見感染方法的影響。這就是網絡攻擊者會利用應用程序中漏洞的原因，IceFire勒索軟件組織就是一個例子，該組織利用IBM Aspera漏洞部署其有效載荷。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。