Magnitude 漏洞開發(fā)工具包（EK）在過去的發(fā)展規(guī)模中一直引人注目并被網(wǎng)絡(luò)犯罪分子用于亞洲多個(gè)國家肆意傳播。奇怪的是，該漏洞開發(fā)工具包于今年 9 月下旬突然消失，起初研究人員以為這僅僅是 EK 研發(fā)失敗的情景，但就在近期，該工具包重新出現(xiàn)并新添有效負(fù)載–勒索軟件 Magniber。

Magnitude 漏洞開發(fā)工具包最早可追溯至 2013 年，其主要包含諸如加密類的勒索軟件。調(diào)查顯示，攻擊者利用該漏洞開發(fā)工具包過濾客戶 IP 地址與系統(tǒng)語言的地理位置后傳遞有效負(fù)載。這是一種網(wǎng)絡(luò)犯罪分子常用的主要技術(shù)工具，旨在規(guī)避研究人員檢測。目前，該工具包只通過漏洞（2016-2016-0189）檢索執(zhí)行有效負(fù)載。

據(jù)悉，Magniber 是一款針對(duì)性較強(qiáng)的勒索軟件，可通過多個(gè)級(jí)別（外部 IP、安裝語言等）檢測目標(biāo)系統(tǒng)，以確保受攻擊設(shè)備僅為韓國用戶。此外，勒索軟件 Magniber 由 Magnitude 漏洞開發(fā)工具包進(jìn)行分配。

調(diào)查顯示，勒索軟件 Magniber 僅在檢測到韓語的系統(tǒng)上才會(huì)開始惡意操作，如果惡意軟件于非韓系統(tǒng)執(zhí)行，其研究人員唯一能看到的操作就是通過其運(yùn)行 ping 命令刪除自身程序。

一旦入侵韓國系統(tǒng)，其惡意軟件將以 ％TEMP％ 方式復(fù)制設(shè)備機(jī)密數(shù)據(jù)，并在任務(wù)調(diào)度程序的幫助下部署自身。據(jù)悉，研究人員在系統(tǒng)的多個(gè)文件夾中除了發(fā)現(xiàn)同一勒索贖金信函外，還檢測到另一文檔，它的名稱與為特定用戶生成的域名相同、擴(kuò)展名與加密文件的擴(kuò)展名相同。此外，每份加密文件都添加了同一個(gè)由拉丁文字符組成的擴(kuò)展名，并且對(duì)于特定的 Magniber 樣本來說固定不變，這意味著每份文件都使用完全相同的密鑰進(jìn)行加密。
研究人員表示，受害者的頁面只顯示英文。雖然它的模板與此前勒索軟件 Cerber 使用的模板極其相似，但內(nèi)部完全不同。此外，Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的幫助下執(zhí)行與傳播。
目前，雖然攻擊者正積極瞄準(zhǔn)韓國用戶分發(fā)勒索軟件 Magniber，但研究人員尚不清楚幕后黑手真正意圖。對(duì)此，他們將持續(xù)跟進(jìn)此次事件并提醒各用戶加強(qiáng)防御體系，以抵御大規(guī)模攻擊事件的發(fā)生。