Los Hackers HomeLand Justice comprometen al gobierno de Albania
En este documento se refleja toda la información recopilada por el FBI y la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) llevada a cabo por los ciberactores identificados como «HomeLand Justice».
La cronología del ataque fue la siguiente Entre mayo y junio de 2022, los ciberactores estatales iraníes realizaron movimientos laterales, reconocimiento de la red y recogida de credenciales en las redes afectadas. En julio de 2022, los actores lanzaron un ransomware en las redes, dejando un mensaje anti-Mujahideen E-Khalq (MEK) en los ordenadores. Cuando los defensores de la red identificaron y comenzaron a responder a la actividad del ransomware, los ciberagentes desplegaron una versión del destructivo malware ZeroCleare.
En junio de 2022, HomeLand Justice creó un sitio web y varios perfiles en las redes sociales en los que publicó mensajes contra el MEK. El 18 de julio de 2022, HomeLand Justice se atribuyó la responsabilidad del ciberataque contra la infraestructura gubernamental albanesa. El 23 de julio de 2022, HomeLand Justice publicó en su sitio web vídeos del ciberataque.
| File | MD5 Hash | Notes |
|---|---|---|
| Error4.aspx | 81e123351eb80e605ad73268a5653ff3 | Webshell |
| cl.exe | 7b71764236f244ae971742ee1bc6b098 | Wiper |
| GoXML.exe | 7b71764236f244ae971742ee1bc6b098 | Encryptor |
| Goxml.jpg | 0738242a521bdfe1f3ecc173f1726aa1 | |
| ClientBin.aspx | a9fa6cfdba41c57d8094545e9b56db36 | Webshell (reverse-proxy connections) |
| Pickers.aspx | 8f766dea3afd410ebcd5df5994a3c571 | Webshell |
| evaluatesiteupgrade.cs.aspx | Webshell | |
| mellona.exe | 78562ba0069d4235f28efd01e3f32a82 | Propagation for Encryptor |
| win.bat | 1635e1acd72809479e21b0ac5497a79b | Launches GoXml.exe on startup |
| win.bat | 18e01dee14167c1cf8a58b6a648ee049 | Changes desktop background to encryption image |
| bb.bat | 59a85e8ec23ef5b5c215cd5c8e5bc2ab | Saves SAM and SYSTEM hives to C:\Temp, makes cab archive |
| disable_defender.exe | 60afb1e62ac61424a542b8c7b4d2cf01 | Disables Windows Defender |
| rwdsk.sys | 8f6e7653807ebb57ecc549cef991d505 | Raw disk driver utilized by wiper malware |
| App_Web_bckwssht.dll | e9b6ecbf0783fa9d6981bba76d949c94 |
El ransomware Cryptor GoXML.exe es un encriptador de archivos del tipo ransomware. Es un ejecutable de Windows, firmado digitalmente con un certificado emitido a nombre de Kuwait Telecommunications Company KSC, una filial de Saudi Telecommunications Company (STC).
Si se ejecuta con cinco o más argumentos (los argumentos pueden ser cualquier cosa, siempre que sean cinco o más), el programa activa silenciosamente su funcionalidad de cifrado de archivos. De lo contrario, se presenta una ventana de diálogo de apertura de archivos, y cualquier documento abierto recibe un aviso de error etiquetado, Xml Form Builder.
Todas las cadenas internas se cifran con una clave RC4 codificada. Antes de descifrar los datos internos, la rutina de descifrado de cadenas tiene una autocomprobación incorporada que descifra un valor DWORD y comprueba si el texto plano es la cadena sí. Si es así, continuará descifrando sus cadenas internas.
El ransomware intentará lanzar el siguiente script por lotes; sin embargo, éste fallará debido a un error de sintaxis.
