「索菲斯X-Ops事件响应团队警告,新的勒索软件团体「疯狂解放者」正在利用远程访问应用程序Anydesk进行攻击。该团体还被发现在数据泄露时使用假Microsoft Windows更新屏幕。疯狂解放者勒索软件团体自2024年7月以来一直活跃,它主要关注数据泄露,而不是数据加密。像其他勒索团体一样,疯狂解放者在其网站上公布了受害者的列表。疯狂解放者使用社交工程技巧来访问受害者的环境,具体来说,目标是使用远程访问工具如Anydesk的组织。Anydesk为每台设备分配了唯一的10位数字ID,用户可以通过输入这个ID或邀请他人控制设备。虽然攻击者选择特定Anydesk ID的方式不清楚,但随机循环遍历可能组合似乎不太高效,考虑到可能的组合数量之多。
索菲斯发布的报告中写道:“当Anydesk连接请求收到时,用户看到弹出窗口。用户必须授权连接以便完全建立。”“在我们处理的案例中,受害者知道他们公司的IT部门使用Anydesk。因此,他们假设 incoming连接请求只是IT部门进行维护的一部分,就点了‘接受’。一旦连接建立,攻击者将一个二进制文件传输到受害者的设备,并执行它。在我们的调查中,这个文件被命名为‘Microsoft Windows更新’”。
疯狂解放者团体使用了一种模拟Windows更新屏幕的恶意软件,使系统 appear更新。这一假屏幕无其他作用,可能避免了大多数反病毒软件的检测。为了防止用户通过按下“Esc”键退出假更新屏幕,攻击者使用了Anydesk中的功能来禁用用户的键盘和鼠标输入,确保骗局不被检测。攻击者使用Anydesk访问受害者的OneDrive账户和共享网络服务器上的文件。他们使用Anydesk的FileTransfer功能进行数据泄露。随后,攻击者使用Advanced IP Scanner搜索其他可被利用的设备,但没有横向移动。然后,他们运行了一個程序,创建了多个位置的共享网络上的黑mail文件,而不是在受害者的设备上。
研究人员继续说:“假Windows更新屏幕保护了攻击者的操作不被在受害者的屏幕上显示。攻击持续了 Nearly four hours,攻击者在攻击的结尾终止了假更新屏幕和Anydesk会话,返回了设备的控制权给受害者。”“我们注意到恶意文件是攻击者手动触发的,没有计划任务或自动化来执行它再次执行攻击actor离开后,文件只是留在受影响的系统上。”研究员详细描述的攻击链强调了对员工进行持续培训和明确IT部门远程会话安排的政策的重要性。它还建议管理员使用Anydesk访问控制列表来限制连接到特定设备。报告结论说:“勒索软件团体不断浮现和消失,疯狂解放者可能证明是一个新的重要玩家,也可能只是一个短暂的事件。然而,攻击者在上述案例中使用的社交工程技巧是值得注意的——但它们并不是独特的。攻击者将继续发展和使用各种技巧,试图exploit人类元素和技术安全层。”
原文始发于微信公众号(黑猫安全):「疯狂解放者」勒索软件团体使用社交工程技巧进行攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论