僵尸网络在 LockBit Black 勒索软件活动中发送了数百万封电子邮件

自 4 月份以来，恶意分子通过 Phorpiex 僵尸网络发送了数百万封钓鱼电子邮件，以开展大规模的 LockBit Black 勒索软件活动。

网络安全和通信集成小组 (NJCCIC) 警告说，攻击者使用包含部署 LockBit Black 有效负载的可执行文件的 ZIP 附件，该有效负载一旦启动就会对接收者的系统进行加密。

这些攻击中部署的 LockBit Black 加密器很可能是开发人员于 2022 年 9 月在 Twitter 上泄露的 LockBit 3.0 构建器构建的。不过，据悉该活动与实际的 LockBit 勒索软件操作没有任何关系。

这些网络钓鱼电子邮件带有“您的文档”和“您的照片”主题时使用“Jenny Brown”或“Jenny Green”别名从全球 1500 多个唯一 IP 地址发送。

当收件人打开恶意 ZIP 存档附件并执行其中的二进制文件时，攻击链就开始了。然后，该可执行文件从 Phorphiex 僵尸网络的基础设施下载 LockBit Black 勒索软件样本，并在受害者的系统上执行。启动后，它将尝试窃取敏感数据、终止服务和加密文件。

网络钓鱼电子邮件样本

LockBit Black 勒索字条 Phorpiex 僵尸网络（也称为 Trik）已经活跃了十多年，它是由一种通过 r 传播的蠕虫进化而来的。

网络安全公司 Proofpoint 自 4 月 24 日以来一直在调查这些攻击，该公司表示，威胁分子的目标是全球各个垂直行业的公司。

尽管这种方法并不新鲜，但发送大量电子邮件来传递恶意负载以及用作第一阶段负载的勒索软件使其格外突出，尽管它缺乏其他网络攻击的复杂性。

Proofpoint 安全研究人员表示，从 2024 年 4 月 24 日开始，Proofpoint 观察到由 Phorpiex 僵尸网络发起的大量活动，其中包含数百万条消息，并传播 LockBit Black 勒索软件。

这是 Proofpoint 研究人员第一次观察到 LockBit Black 勒索软件（又名 LockBit 3.0）样本通过 Phorphiex 大量传播。

LockBit Black 勒索信

Phorpiex 僵尸网络（也称为 Trik）已经活跃了十多年。它从通过可移动 USB 存储和 Skype 或 Windows Live Messenger 聊天传播的蠕虫演变为使用垃圾邮件传递的 IRC 控制的木马。

经过多年的活动和发展，该僵尸网络慢慢发展壮大，控制了超过 100 万台受感染的设备，该僵尸网络的运营商在关闭 Phorpiex 基础设施后，试图在黑客论坛上出售恶意软件的源代码。

Phorpiex 僵尸网络还被用来发送数百万封勒索电子邮件（每小时发送超过 30000 封垃圾邮件），并且最近使用剪贴板劫持者模块将复制到 Windows 剪贴板的加密货币钱包地址替换为攻击者控制的地址。

在添加加密剪裁支持后的一年内，Phorpiex 的运营商劫持了 969 笔交易，并窃取了 3.64 比特币（172300 美元）、55.87 以太币（216000 美元）和价值 55000 美元的 ERC20 代币。

为了防御推送勒索软件的网络钓鱼攻击，NJCCIC 建议实施勒索软件风险缓解策略，并使用端点安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息。

   END