BlackCat/ALPHV 勒索軟件最近開始使用一種名為 "Munchkin "的新工具，該工具可利用虛擬機在網絡設備上隱秘地部署加密程序。

同時，此工具還可以讓 BlackCat 實現遠程系統運行、加密遠程服務器消息塊 (SMB) 或通用互聯網文件 (CIFS) 網絡共享。

在 BlackCat 已經非常廣泛和先進的武器庫中引入 Munchkin，對網絡犯罪分子來說極具具吸引力。

攻擊腳本隱藏在 VirtualBox 中

Palo Alto Networks Unit 42發現，BlackCat 的新 Munchkin 工具是一個定制的 Alpine OS Linux 發行版，以iSO 文件的形式提供。

威脅行為者入侵設備后，會安裝 VirtualBox 并使用 Munchkin ISO 創建一個新的虛擬機。而該 Munchkin 虛擬機包含一套腳本和實用程序，允許威脅者轉儲密碼、在網絡上橫向傳播、構建 BlackCat "Sphynx "加密器有效載荷并在網絡計算機上執行程序。

啟動后，它會將根密碼更改為只有攻擊者知道的密碼，并利用 "tmux "實用程序執行名為 "controller "的基于 Rust 的惡意軟件二進制文件，開始加載攻擊中使用的腳本。

下面列出了這些腳本：

映像文件系統的結構，圖源:Unit 42

“控制器”使用捆綁的配置文件，而這些文件提供訪問令牌、受害者憑據和身份驗證秘密，以及配置指令、文件夾和文件塊列表、要運行的任務和要加密的目標主機。

此配置用于在/payloads/目錄下生成自定義BlackCat加密器可執行文件，然后將其推送到遠程設備以加密文件或加密SMB和CIFS網絡共享。

Munchkin攻擊圖，圖源：Unit 42

Unit 42在惡意軟件的代碼中發現了一條BlackCat作者發給其合作伙伴的消息，特別強調了聊天訪問令牌泄露的風險。由于配置缺乏加密系統，因此該作者警告他們不要將iSO留在目標系統上。

影響勒索軟件受害者和網絡犯罪分子的一個常見問題是，樣本通常會通過惡意軟件分析網站泄露。而通過分析勒索軟件樣本，研究人員就能夠可以完全地訪問勒索軟件團伙與受害者之間的協商聊天內容。

為了防止這種情況，附屬程序在啟動時會在運行時提供 Tor 協商網站訪問令牌。這樣的話即使受害者可以訪問攻擊中使用的樣本，也不可能訪問受害者的協商聊天內容。

基于此，威脅者警告附屬機構必須刪除 Munchkin 虛擬機和 ISO，以防止這些訪問令牌泄漏。同時，開發人員還提供了使用 "控制器 "監控攻擊進度和啟動任務的說明和技巧。

惡意軟件中包含的說明，圖源：Unit 42

有了Munchkin 后，BlackCat 勒索軟件的附屬程序能夠更輕松的執行各類任務，比如繞過保護受害者設備的安全解決方案。這是因為虛擬機提供了一層與操作系統的隔離層，能夠使安全軟件的檢測和分析更具挑戰性。

Alpine OS 的選擇確保了較小的數字足跡，而且該工具的自動操作減少了其他無用的干預需求。

Munchkin 采用的模塊化設計，擁有多種 Python 腳本，其不僅擁有獨特的配置還可以根據需求交換有效載荷的能力，能夠讓工具易于調整以適應特定目標或活動。

BlackCat 仍在演變

BlackCat 出現于 2021 年底，是一款基于 Rust 的復雜勒索軟件，同時也是 BlackMatter 和 Darkside 的后繼者。

BlackCat 定期推出高級功能，如高度可配置的間歇加密、數據泄漏 API、Impacket 和 Remcom 嵌入、支持自定義憑據的加密器、簽名內核驅動程序以及數據滲透工具的升級，至今為止的發展軌跡都很順利。

2023 年，BlackCat 已針對多家企業、機構等發起了多次勒索行動，比如佛羅里達巡回法院、米高梅度假村、Motel One、精工、雅詩蘭黛、HWL Ebsworth、西部數據和 Constellation Software。