黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关

admin 2024年8月16日16:40:23评论9 views字数 1053阅读3分30秒阅读模式

黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关

Rapid7研究人员发现了一场新的社会工程活动,将SystemBC落下器分配给黑暗巴斯塔勒ansomware操作。2024年6月20日,Rapid7研究人员检测到多次攻击,这些攻击与Rapid7正在跟踪的社会工程活动一致。专家注意到最近的事件中,黑客使用的工具发生了重要的变化。

攻击链始于相同的方式,黑客发送电子邮件轰炸,然后尝试通过Microsoft Teams与目标用户通话,以提供假解决方案。他们欺骗用户安装AnyDesk,允许远程控制计算机。

攻击过程中,攻击者部署了名为AntiSpam.exe的凭证收集工具,这个工具假装是一个垃圾邮件更新工具。这个工具提示用户输入凭证,后者将被保存或记录以便后续使用。

攻击者使用了各种名称与其初始诱骗相符的负载,包括SystemBC恶意软件、Golang HTTP信标和Socks代理信标。研究人员注意到攻击者使用了名为update6.exe的可执行文件,旨在利用CVE-2022-26923漏洞以实现权限升级,还使用了反向SSH隧道和Level远程监控和管理(RMM)工具进行横向移动和保持访问。

当执行update6.exe时,它将尝试exploit CVE-2022-26923以添加机器账户,如果环境中的域控制器是可用的,调试符号数据库路径留存原样,并表明这是:C:UserslfkmfsourcereposAddMachineAccountx64ReleaseAddMachineAccount.pdb。原始源代码很可能来自Outflank创建的可公开获取的Cobalt Strike模块。

SystemBC负载在update8.exe中是动态从加密资源中检索的,并直接注入到同名子进程中。原始SystemBC文件使用XOR密钥加密,这个密钥由于PE部分null字节的加密而暴露。研究人员建议通过阻止未经批准的远程监控和管理解决方案来 mitigating 威胁。AppLocker或Microsoft Defender Application Control可以阻止未经批准的RMM解决方案在环境中执行。

Rapid7还建议:

  • 教育用户关于IT通讯渠道,以 spotting 和避免社会工程攻击。

  • 鼓励用户报告 Suspicious 的ITstaff称呼和短信。

  • 保持软件更新,以保护已知漏洞,包括应用CVE-2022-26923漏洞补丁,以防止可用的域控制器上升级权限。

原文始发于微信公众号(黑猫安全):黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月16日16:40:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关https://cn-sec.com/archives/3072034.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息