Cisco Talos发现BlackByte勒索软件集团最近攻击了VMware ESXi虚拟机平台的CVE-2024-37085漏洞,该漏洞是VMware ESXi虚拟机平台中的认证 bypass漏洞(CVSS评分为6.8)。7月末,微软警告说,多个勒索软件团伙正在利用该漏洞。微软警告说:“微软研究人员发现了ESXi虚拟机平台中的漏洞,这些漏洞正在被多个勒索软件操作员使用,以获取对域连接的ESXi虚拟机的完整管理员权限。”
Talos IR的最新调查表明,BlackByte勒索软件集团使用受害者的现有远程访问,而不是工具,如AnyDesk。该团伙使用了新的加密器版本,该版本将加密文件重命名为“blackbytent_h”,并将四个脆弱的驱动程序文件留下,使用受害者的Active Directory凭证传播。
根据Talos的报告,BlackByte勒索软件集团非常活跃,只有20-30%的成功攻击被公开披露在该团伙的泄露网站上。BlackByte集团运营勒索软件作为服务(RaaS),专家将其链接到著名的Conti勒索软件团伙。该团伙自2021年以来一直活跃,BlackByte因使用脆弱的驱动程序来绕过安全、部署自我传播的勒索软件具有worm-like能力,以及利用合法系统二进制文件和商业工具攻击而闻名。
Talos IR的调查结果表明,攻击者使用有效的凭证登录受害者的VPN,未清楚这些凭证是通过暴力攻击还是以前知晓的攻击者。然而,Talos IR believed that brute-force authentication via internet scanning was likely the initial access method。
一旦攻击者获取了对网络的初始访问,BlackByte勒索软件集团使用两个Domain Admin账户升级权限。其中一个账户访问了VMware vCenter服务器,添加了VMware ESXi主机到Active Directory域,然后创建了“ESX Admins”组以利用CVE-2024-37085漏洞获取高级权限对ESXi主机。然后,攻击者控制了虚拟机和对关键系统功能的访问。
攻击者在网络中使用NT LAN Manager (NTLM)进行身份验证,这通常与pass-the-hash攻击相关。他们还执行了一个可疑的“atieclxx.exe”文件版本,从非标准目录执行,这表明攻击者试图将自定义数据泄露工具ExByte伪装为合法文件。
攻击者篡改了安全工具,卸载了Endpoint Detection and Response (EDR)系统,并更改了ESXi主机的root密码。文件加密开始前,检测到了增加的NTLM身份验证和Server Message Block (SMB)活动,这表明勒索软件具有自我传播能力。研究人员无法确定是否发生数据泄露或如何进行泄露,但专家认为可能使用了BlackByte的自定义数据泄露工具ExByte。
Talos发布的报告中写道:“Talos观察了一些BlackByte攻击的不同之处。最值得注意的是,所有受害者都将加密文件重命名为“blackbytent_h”,这还没有出现在公共报道中。此 newer版本的加密器也将四个脆弱的驱动程序文件留下,这是BlackByte的通常Bring Your Own Vulnerable Driver (BYOVD)技术的增加,从前报告中描述的两个或三个驱动程序增加到四个。四个驱动程序都是加密器二进制文件在所有BlackByte攻击中被drop的,每个驱动程序都具有类似的命名约定-八个随机字母数字字符后跟一个下划线和递增的值。”
“BlackByte 在其最新版本的加密程序 BlackByteNT 中从 C# 到 Go 再到 C/C++ 的编程语言的发展,代表了为提高恶意软件对检测和分析的弹性所做的刻意努力。C/C++ 等复杂语言允许整合高级反分析和反调试技术,其他安全研究人员在详细分析期间已在 BlackByte 工具中观察到这些技术。“BlackByte 加密器的自我传播特性给防御者带来了额外的挑战”
原文始发于微信公众号(黑猫安全):BlackByte勒索软件集团攻击了最近修补的VMware ESXi漏洞CVE-2024-37085
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论