【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件

admin 2020年8月25日22:28:42评论334 views字数 1864阅读6分12秒阅读模式

【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件

与伊朗有联系的一群“脚本小子”正在利用面向互联网的远程桌面协议(RDP)端口和凭据薄弱的公司来攻击全球公司,以利用Dharma勒索软件感染它们。
该达摩恶意软件  (也称为孤岛)已被分发为自至少2016年一个勒索作为一种服务(RAAS)模型虽然勒索先前由高级长期威胁使用(APT)的行动者,它的源代码中浮现2020年3月,使其可供更广泛的攻击者使用。最新的与伊朗有关的威胁组织就是这种情况,研究人员说,这种威胁并不老练,自6月份以来就一直在利用该勒索软件攻击俄罗斯,日本,中国和印度的公司。
Group-IB的高级数字取证专家Oleg Skulkin 在对周一发布的攻击的分析中说:“ Dharma源代码已被广泛使用,这导致部署它的运营商数量增加。” “令人惊讶的是,佛法落入了利用其牟取金钱的伊朗剧本小子之手,因为伊朗传统上一直是由国家资助的从事间谍活动和破坏活动的攻击者的土地。尽管这些网络罪犯使用了非常通用的战术,技术和程序,但它们已经非常有效。”
IB-Group资深DFIR分析师Oleg Skulkin告诉Threatpost,这些威胁行为者并不复杂,因为他们使用公开可用的工具来获取初始访问权限并横向移动-而不是使用自定义恶意软件或后开发框架。
Skulkin告诉Threatpost说:“威胁者使用波斯语在受感染的服务器上进行Google搜索,并从与伊朗有联系的电报组织下载工具。” “此外,IB组专家还看到了威胁行为者企图在伊朗视频流服务上强行使用帐户的行为。”

【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件

此活动中的攻击者首先将扫描包含这些易受攻击的RDP端口和凭据薄弱的主机的IP范围。他们使用称为Masscan的扫描软件(以前已被Fxmsp等不良行为者利用)进行扫描。
一旦识别出易受攻击的主机,攻击者就会部署一个著名的RDP暴力应用程序NLBrute,该应用程序已在论坛上出售了多年。使用此工具,他们可以蛮力进入系统,然后在网络中的其他可访问主机上检查所获取凭据的有效性。
在某些攻击中,攻击者还尝试使用针对提升特权漏洞的利用来提升特权。攻击者运行经特殊设计的应用程序时,可以利用此中等严重性漏洞(CVE-2017-0213)影响Windows系统。
在入侵后,“有趣的是,威胁参与者可能没有针对受感染网络的处理方法的明确计划。”这表明他们缺乏复杂性。在不同的攻击中,攻击者将下载各种公开可用的工具来执行侦察或在网络上横向移动。
例如,要扫描受感染网络中的可访问主机,它们使用了公共可用的工具“高级端口扫描程序”。研究人员说,攻击者从波斯语电报频道下载了其他工具。
“例如,为了禁用内置的防病毒软件,攻击者使用了Defender Control和Your Uninstaller。” “后者是从伊朗软件共享网站下载的-在Chrome工件中发现了波斯语“دانلودنرمافزار”的Google搜索查询。”
然后,攻击者将在网络上横向移动并部署Dharma变体可执行文件,加密数据并为受害者留下赎金记录。研究人员说,黑客通常要求赎金在1到5 BTC之间(在撰写本文时价值在12,000到59,000美元之间)。
尽管这场运动中受害者的确切人数尚不清楚,但发现的法医文物表明,该坎帕格的威胁者“远远落后于伊朗大型APT的复杂程度。”
IB集团的研究人员说:“新发现的黑客组织暗示,伊朗多年来一直是由国家资助的APT组织的摇篮,现在也可以容纳出于经济动机的网络犯罪分子。”
这一变化的部分原因可能是由于大流行使许多易受攻击的主机暴露在外,许多员工在远程工作,这使网络犯罪分子成为非常流行的攻击媒介。因此,建议不要使用默认的RDP端口3389。
“由于攻击者通常需要多次尝试暴力破解密码并获得对RDP的访问权限,因此通过限制每个用户失败的登录尝试次数来启用帐户锁定策略非常重要。”
猜你喜欢  

【安全圈】9万服务器受影响 ,宝塔紧急出修复方案,快起来修漏洞

【安全圈】刚刚,字节跳动宣布8月25日起诉特朗普政府!

【安全圈】Google修复了主要的gmail漏洞

【安全圈】公安部“净网行动”抓捕江西传奇至尊等多家IDC五百余人

【安全圈】欧盟或推迟Twitter 数据泄露隐私案调查

【安全圈】研究人员对恶意AWS社区发出警报

【安全圈】特斯拉APP被曝安全漏洞

【安全圈】App上的隐私贩卖:窥探别人卧室 微型摄像头月销上万

【安全圈】骚扰短信提供线索!武汉网警打掉一个“黑客”团伙

【安全圈】南非益百利披露数据泄露影响2400万客户

【安全圈】涉案 3000 余万!苏州破获虚拟货币黑客案

【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件
【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件
你点的每个赞,我都认真当成了喜欢


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月25日22:28:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全圈】伊朗的新手黑客通过RDP端口传播Dharma勒索软件https://cn-sec.com/archives/100770.html

发表评论

匿名网友 填写信息