黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关

Rapid7研究人员发现了一场新的社会工程活动，将SystemBC落下器分配给黑暗巴斯塔勒ansomware操作。2024年6月20日，Rapid7研究人员检测到多次攻击，这些攻击与Rapid7正在跟踪的社会工程活动一致。专家注意到最近的事件中，黑客使用的工具发生了重要的变化。

攻击链始于相同的方式，黑客发送电子邮件轰炸，然后尝试通过Microsoft Teams与目标用户通话，以提供假解决方案。他们欺骗用户安装AnyDesk，允许远程控制计算机。

攻击过程中，攻击者部署了名为AntiSpam.exe的凭证收集工具，这个工具假装是一个垃圾邮件更新工具。这个工具提示用户输入凭证，后者将被保存或记录以便后续使用。

攻击者使用了各种名称与其初始诱骗相符的负载，包括SystemBC恶意软件、Golang HTTP信标和Socks代理信标。研究人员注意到攻击者使用了名为update6.exe的可执行文件，旨在利用CVE-2022-26923漏洞以实现权限升级，还使用了反向SSH隧道和Level远程监控和管理（RMM）工具进行横向移动和保持访问。

当执行update6.exe时，它将尝试exploit CVE-2022-26923以添加机器账户，如果环境中的域控制器是可用的，调试符号数据库路径留存原样，并表明这是：C:UserslfkmfsourcereposAddMachineAccountx64ReleaseAddMachineAccount.pdb。原始源代码很可能来自Outflank创建的可公开获取的Cobalt Strike模块。

SystemBC负载在update8.exe中是动态从加密资源中检索的，并直接注入到同名子进程中。原始SystemBC文件使用XOR密钥加密，这个密钥由于PE部分null字节的加密而暴露。研究人员建议通过阻止未经批准的远程监控和管理解决方案来 mitigating 威胁。AppLocker或Microsoft Defender Application Control可以阻止未经批准的RMM解决方案在环境中执行。

Rapid7还建议：

• 教育用户关于IT通讯渠道，以 spotting 和避免社会工程攻击。

• 鼓励用户报告 Suspicious 的ITstaff称呼和短信。

• 保持软件更新，以保护已知漏洞，包括应用CVE-2022-26923漏洞补丁，以防止可用的域控制器上升级权限。

原文始发于微信公众号（黑猫安全）：黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关