Rapid7研究人员发现了一场新的社会工程活动,将SystemBC落下器分配给黑暗巴斯塔勒ansomware操作。2024年6月20日,Rapid7研究人员检测到多次攻击,这些攻击与Rapid7正在跟踪的社会工程活动一致。专家注意到最近的事件中,黑客使用的工具发生了重要的变化。
攻击链始于相同的方式,黑客发送电子邮件轰炸,然后尝试通过Microsoft Teams与目标用户通话,以提供假解决方案。他们欺骗用户安装AnyDesk,允许远程控制计算机。
攻击过程中,攻击者部署了名为AntiSpam.exe的凭证收集工具,这个工具假装是一个垃圾邮件更新工具。这个工具提示用户输入凭证,后者将被保存或记录以便后续使用。
攻击者使用了各种名称与其初始诱骗相符的负载,包括SystemBC恶意软件、Golang HTTP信标和Socks代理信标。研究人员注意到攻击者使用了名为update6.exe的可执行文件,旨在利用CVE-2022-26923漏洞以实现权限升级,还使用了反向SSH隧道和Level远程监控和管理(RMM)工具进行横向移动和保持访问。
当执行update6.exe时,它将尝试exploit CVE-2022-26923以添加机器账户,如果环境中的域控制器是可用的,调试符号数据库路径留存原样,并表明这是:C:UserslfkmfsourcereposAddMachineAccountx64ReleaseAddMachineAccount.pdb。原始源代码很可能来自Outflank创建的可公开获取的Cobalt Strike模块。
SystemBC负载在update8.exe中是动态从加密资源中检索的,并直接注入到同名子进程中。原始SystemBC文件使用XOR密钥加密,这个密钥由于PE部分null字节的加密而暴露。研究人员建议通过阻止未经批准的远程监控和管理解决方案来 mitigating 威胁。AppLocker或Microsoft Defender Application Control可以阻止未经批准的RMM解决方案在环境中执行。
Rapid7还建议:
-
教育用户关于IT通讯渠道,以 spotting 和避免社会工程攻击。
-
鼓励用户报告 Suspicious 的ITstaff称呼和短信。
-
保持软件更新,以保护已知漏洞,包括应用CVE-2022-26923漏洞补丁,以防止可用的域控制器上升级权限。
原文始发于微信公众号(黑猫安全):黑暗巴斯塔勒ansomware团伙与SystemBC恶意软件_campaign有关
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论