古巴勒索软件攻击背后的黑客使用新的RAT恶意软件

admin 2022年8月12日09:02:22评论49 views字数 2289阅读7分37秒阅读模式

古巴勒索软件攻击背后的黑客使用新的RAT恶意软件


与古巴勒索软件相关的威胁参与者与以前未记录的策略、技术和程序 (TTP) 相关联,包括在受感染系统上名为ROMCOM RAT的新远程访问木马


发现来自 Palo Alto Networks 的 Unit 42 威胁情报团队,该团队正在追踪以星座为主题的绰号“ 热带天蝎座”的双重勒索勒索软件组。


古巴勒索软件(又名COLDDRAW)于 2019 年 12 月首次被发现,并于 2021 年 11 月重新出现在威胁环境中,并归因于对五个关键基础设施部门的 60 个实体的攻击,累积了至少 4390 万美元的赎金。


在其数据泄露网站上列出的 60 名受害者中,有 40 名位于美国,这表明目标组织的全球分布不如其他勒索软件团伙。


“古巴勒索软件是通过 Hancitor 恶意软件传播的,该恶意软件以将远程访问木马 (RAT) 和其他类型的勒索软件等窃取程序投放或执行到受害者网络而闻名,”根据美国联邦调查局2021 年 12 月的警报。调查(FBI)。


“Hancitor 恶意软件攻击者使用网络钓鱼电子邮件、Microsoft Exchange 漏洞、泄露的凭据或合法的远程桌面协议 (RDP) 工具来获得对受害者网络的初始访问权限。”


据趋势科技称,在随后的几个月中,勒索软件操作已获得升级,旨在“优化其执行,最大限度地减少意外系统行为,并在勒索软件受害者选择谈判时为他们提供技术支持”。


其中最主要的变化包括在加密之前终止更多进程(即 Microsoft Outlook、Exchange 和 MySQL),扩展要排除的文件类型,并修改其勒索信以通过 quTox 为受害者提供支持。


据 Bleeping Computer 于 2022 年 5 月报道, Tropical Scorpius 还被认为与一个名为 Industrial Spy 的数据勒索市场共享连接,在古巴勒索软件攻击后被泄露的数据发布在非法门户网站而不是其自己的数据泄露网站上出售。


Unit 42 在 2022 年 5 月观察到的最新更新与部署勒索软件之前采用的防御规避策略有关,该策略在雷达下飞行并在受感染的 IT 环境中横向移动。


古巴勒索软件攻击背后的黑客使用新的RAT恶意软件


该公司指出:“Tropical Scorpius 利用了一个将内核驱动程序写入名为 ApcHelper.sys 的文件系统的释放器。” “这针对并终止了安全产品。dropper 没有签名,但是,内核驱动程序是使用在LAPSUS$ NVIDIA 泄漏中找到的证书进行签名的。”


内核驱动程序的主要任务是终止与安全产品相关的进程以绕过检测。攻击链中还包含一个从远程服务器下载的本地权限提升工具,以获得系统权限。


反过来,这是通过触发对 CVE-2022-24521(CVSS 得分:7.8)的利用来实现的,该漏洞是 Windows 通用日志文件系统 (CLFS) 中的一个漏洞,微软于 2022 年 4 月将其作为零日漏洞进行了修补


在权限提升步骤之后,通过 ADFind 和 Net Scan 等工具执行系统侦察和横向移动活动,同时还使用 ZeroLogon 实用程序,该实用程序利用CVE-2020-1472获得域管理员权限。


此外,此次入侵为部署名为 ROMCOM RAT 的新型后门铺平了道路,该后门可以启动反向 shell、删除任意文件、将数据上传到远程服务器以及收集正在运行的进程列表。


据说根据 Unit 42 的远程访问木马正在积极开发中,因为这家网络安全公司在 2022 年 6 月 20 日发现了第二个上传到 VirusTotal 数据库的样本。


改进后的变体支持更广泛的 22 个命令集,包括下载定制有效负载以捕获屏幕截图以及提取所有已安装应用程序列表以发送回远程服务器的能力。


“热带天蝎座仍然是一个活跃的威胁,”研究人员说。“该组织的活动清楚地表明,使用更细致入微的工具混合使用更细致入微的工具来进行防御规避和本地特权升级的交易方法在入侵期间可能非常有效。


调查结果发布之际, StormousVice SocietyLunaSolidBit和 BlueSky等新兴勒索软件组织在网络犯罪生态系统中继续扩散和发展,同时使用先进的加密技术和交付机制。


古巴勒索软件攻击背后的黑客使用新的RAT恶意软件


SolidBit 通过伪装成不同的应用程序(例如英雄联盟帐户检查工具以及 Social Hacker 和 Instagram Follower Bot 等工具)以针对流行视频游戏和社交媒体平台的用户而脱颖而出,从而使演员能够投放广泛的潜在受害者网络。


“SolidBit 勒索软件是使用 .NET 编译的,实际上是 Yashma 勒索软件的变体也称为 Chaos,”趋势科技在上周的一篇文章中指出。


“有可能 SolidBit 的勒索软件参与者目前正在与 Yashma 勒索软件的原始开发商合作,并可能修改了 Chaos builder 的一些功能,后来将其重新命名为 SolidBit。”

就 BlueSky 而言,众所周知,它利用多线程加密主机上的文件以加快加密速度,更不用说采用反分析技术来混淆其外观。


勒索软件有效载荷以执行从攻击者控制的服务器检索的 PowerShell 脚本开始,也将自己伪装成合法的 Windows 应用程序(“javaw.exe”)。


“勒索软件作者正在采用现代先进技术,例如编码和加密恶意样本,或使用多阶段勒索软件交付和加载,以规避安全防御,”Unit 42指出


“BlueSky 勒索软件能够通过多线程计算快速加密受害者主机上的文件。此外,该勒索软件采用 API 散列等混淆技术来减慢分析师的逆向工程过程。”



关于古巴勒索软件的新消息:来自热带天蝎座的问候


古巴勒索软件攻击背后的黑客使用新的RAT恶意软件

古巴勒索软件攻击背后的黑客使用新的RAT恶意软件

https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/

原文始发于微信公众号(网络研究院):古巴勒索软件攻击背后的黑客使用新的RAT恶意软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月12日09:02:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   古巴勒索软件攻击背后的黑客使用新的RAT恶意软件https://cn-sec.com/archives/1233329.html

发表评论

匿名网友 填写信息