-
ALPHA SPIDER 是 Alphv 勒索软件服务(RaaS)的开发和运营背后的对手。 -
在过去的一年里,ALPHA SPIDER 的合作伙伴们一直在利用各种新颖的技术作为其勒索软件行动的一部分。 -
CrowdStrike 服务团队观察到的技术包括使用 NTFS 备用数据流来隐藏反向 SSH 工具、利用与 GNU/Linux 基础设备相关的多个漏洞进行初始访问和提权,以及通过篡改网络配置文件绕过基于 DNS 的过滤和多因素身份验证(MFA)。 -
ALPHA SPIDER 的合作伙伴们仍在对受害者进行成功的勒索软件行动,这个对手对任何组织仍然是一个明显而且现实的威胁。
嘈杂的网络发现和凭证访问
在获得目标网络的初始本地特权立足点后,同一攻击中的威胁参与者 1 执行了广泛的网络发现活动。威胁行为者 1 下载了臭名昭著的网络扫描工具 Nmap,以及其他 Nmap 脚本。威胁行为者使用 Nmap 进行系统和服务发现,并利用特定的 Nmap 脚本对目标网络执行有针对性的漏洞扫描。
此次扫描后,威胁行为者 1 尝试使用mitm6和responder两个 攻击性安全网络工具来收集其他凭据。根据各自作者的说法,这是一个“利用 Windows 默认配置接管默认 DNS 服务器的渗透测试工具”,并且是一个“LLMNR、NBT-NS 和 MDNS 中毒者”。mitm6responder
威胁参与者 1 还尝试利用标识为 CVE-2021-21972 的漏洞。7 CVE-2021-21972 是 vCenter Server 插件中的远程代码执行漏洞,威胁参与者可能利用该漏洞以不受限制的权限执行命令。随后,在这次攻击中,威胁行动者 1 还在 受感染的 CSA 服务器上安装了masscan8 个计算机,以执行其他网络侦察活动。
-
识别通常登录到感兴趣端点的(特权)用户帐户 -
识别网络内对手可能能够横向移动的系统 -
收集可能被错误输入到用户名字段的密码
原文始发于微信公众号(Ots安全):ALPHA SPIDER 勒索软件攻击分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论