新的EX-22工具使黑客能够对企业进行窃取勒索软件攻击

一个名为EXFILTRATOR-22（又名EX-22）的新的后开发框架已经在野外出现，其目标是在企业网络中部署勒索软件，同时在雷达下飞行。

CYFIRMA在一份新的报告中表示：“它具有广泛的功能，使得任何购买该工具的人都可以轻松地进行后期开发。”。其中一些显著的功能包括建立具有提升权限的反向外壳、上传和下载文件、记录击键、启动勒索软件以加密文件，以及启动实时访问的实时VNC（虚拟网络计算）会话。它还可以在系统重新启动后继续运行，通过蠕虫执行横向移动，查看正在运行的进程，生成文件的加密散列，并提取身份验证令牌。这家网络安全公司以适度的信心评估称，负责制造恶意软件的威胁行为者来自北亚、东亚或东南亚，很可能是LockBit勒索软件的前附属公司。

EX-22在Telegram和YouTube上被宣传为完全无法检测的恶意软件，每月1000美元，终身访问5000美元。购买工具包的犯罪行为人被提供了一个登录面板，以访问EX-22服务器并远程控制恶意软件。

自2022年11月27日首次出现以来，恶意软件作者一直在不断迭代具有新功能的工具包，表明正在进行积极的开发工作。与LockBit 3.0的连接源于技术和基础设施的重叠，两个恶意软件家族使用相同的域前端机制来隐藏命令和控制（C2）流量。开发后的框架即服务（PEFaaS）模型是最新的工具，可用于希望在较长时间内保持对受威胁设备的秘密访问的对手。它还加入了其他框架，如Manjusaka和Alchimist，以及合法的开源替代品，如Cobalt Strike、Metasploit、Sliver、Empire、Brute Ratel和Havoc，这些都是为了恶意目的而加入的。

原文始发于微信公众号（黑猫安全）：新的EX-22工具使黑客能够对企业进行窃取勒索软件攻击