卡巴斯基警告,黑客组织利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯目标

admin
admin
admin
138985
文章
114
评论
2024年10月21日16:40:15评论40 views字数 3905阅读13分1秒阅读模式

导 

一个名为Crypt Ghouls 的新兴威胁组织涉嫌对俄罗斯企业和政府机构发动一系列网络攻击,这些攻击使用勒索软件,目的在于破坏企业运营和获取经济利益。

卡巴斯基警告,黑客组织利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯目标

卡巴斯基表示:“接受调查的组织拥有一个工具包,其中包括 Mimikatz、XenAllPasswordPro、PingCastle、Localtonet、resocks、AnyDesk、PsExec 等实用程序。”“作为最终的有效载荷,该组织使用了著名的勒索软件 LockBit 3.0 和 Babuk。”

恶意攻击的受害者包括俄罗斯的政府机构以及矿业、能源、金融和零售公司。

卡巴斯基表示,仅在两次事件中就能够精准定位初始入侵媒介,威胁组织利用承包商的登录凭证通过 VPN 连接到内部系统。

据称,VPN 连接源自与俄罗斯托管服务提供商网络和承包商网络关联的 IP 地址,表明攻击者试图利用信任关系来躲避监控。据信,承包商网络是通过 VPN 服务或未修补的安全漏洞被攻破的。

初始访问阶段通过使用 NSSM 和 Localtonet 实用程序来维持远程访问,后续利用则通过以下工具进行:

  • XenAllPasswordPro 收集身份验证数据

  • CobInt后门

  • Mimikatz 提取受害者凭证

  • dumper.ps1 从 LSA 缓存中转储 Kerberos 票证

  • MiniDump 从 lsass.exe 的内存中提取登录凭据

  • cmd.exe 复制存储在 Google Chrome 和 Microsoft Edge 浏览器中的凭据

  • PingCastle 用于网络侦察

  • PAExec运行远程命令

  • AnyDesk 和resocks SOCKS5 代理用于远程访问

攻击最终使用 Windows 版 LockBit 3.0 和 Linux/ESXi 版 Babuk 的公开版本加密系统数据,同时还采取措施加密回收站中的数据以阻止恢复。

卡巴斯基表示:“攻击者在会话消息服务中留下一封勒索信,其中有一个包含其 ID 的链接,以便日后联系。他们会通过 SSH 连接到 ESXi 服务器,上传 Babuk,并启动虚拟机内文件的加密过程。”

Crypt Ghouls 在这些攻击中选择的工具和基础设施与近几个月针对俄罗斯的其他组织开展的类似活动重叠,包括MorLock、BlackJack、Twelve、Shedding Zmiy(又名 ExCobalt)

该公司表示:“网络犯罪分子正在利用被盗用的凭证(通常属于分包商)和流行的开源工具。针对俄罗斯的攻击中使用的共享工具包使得确定涉及的具体黑客组织变得十分困难。”

“这表明当前的参与者不仅分享知识,还分享他们的工具包。所有这些都使得识别针对俄罗斯组织的攻击浪潮背后的具体恶意行为者变得更加困难。”

新闻链接:

https://thehackernews.com/2024/10/crypt-ghouls-targets-russian-firms-with.html

卡巴斯基警告,黑客组织利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯目标

今日安全资讯速递

APT事件

Advanced Persistent Threat

Crypt Ghouls 利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯公司

https://thehackernews.com/2024/10/crypt-ghouls-targets-russian-firms-with.html

与朝鲜有关的组织 APT37 利用 Internet Explorer 0day漏洞发起供应链攻击

https://securityaffairs.com/169983/apt/north-korea-apt37-ie-zero-day.html

摩尔多瓦正面临前所未有的复杂和侵略性的虚假信息浪潮

https://www.wired.com/story/the-disinformation-warning-coming-from-the-edge-of-europe/

越南黑客组织针对数字营销专业人士的多阶段恶意软件攻击

https://thecyberexpress.com/quasar-rat/

ESET 合作伙伴遭入侵,向以色列组织发送数据擦除器

https://www.bleepingcomputer.com/news/security/eset-partner-breached-to-send-data-wipers-to-israeli-orgs/

朝鲜 APT 组织利用 IE 0day漏洞发起供应链攻击

https://www.securityweek.com/north-korean-apt-exploited-ie-zero-day-in-supply-chain-attack/

美国及其盟友警告伊朗将在一年内对关键基础设施发动网络攻击https://thehackernews.com/2024/10/us-and-allies-warn-of-iranian.html

一般威胁事件

General Threat Incidents

黑客利用 Roundcube Webmail XSS 漏洞窃取登录凭证

https://thehackernews.com/2024/10/hackers-exploit-roundcube-webmail-xss.html

受 Mirai 启发的 Gorilla 僵尸网络袭击了 100 个国家/地区的 30 万个目标

https://hackread.com/mira-gorilla-botnet-ddos-attacks-hit-100-countries/

多因素身份验证疲劳或推送轰炸攻击:日益严重的网络威胁

https://www.canr.msu.edu/news/multifactor-authentication-fatigue-or-push-bombing-attacks-a-growing-cyber-threat

匿名苏丹(Anonymous Sudan)黑客组织已不复存在:两名涉嫌运营者被起诉

https://www.theregister.com/2024/10/17/anonymous_sudan_arrests_charges/

虚假 Google Meet 会议错误推送信息窃取恶意软件

https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/

超过 90% 的网络钓鱼活动会导致受害者感染恶意软件

https://www.securitymagazine.com/articles/101115-over-90-of-phishing-campaigns-lead-victims-to-malware

日本科技巨头 Nidec 确认勒索软件攻击后数据泄露

https://www.bleepingcomputer.com/news/security/tech-giant-nidec-confirms-data-breach-following-ransomware-attack/

日本名古屋证券交易所遭受网络攻击

https://dailydarkweb.net/japans-nagoya-stock-exchange-hit-by-cyberattack/

以色列技术转移网络遭入侵,敏感数据遭泄露

https://dailydarkweb.net/israel-tech-transfer-network-breached-sensitive-data-compromised/

CISA 确认 Veeam 漏洞被用于勒索软件攻击

https://therecord.media/veam-vulnerability-exploited-ransomware-cisa-kev

漏洞事件

Vulnerability Incidents

F5 修复了 BIG-IP 中的高严重性特权提升漏洞

https://securityaffairs.com/170022/security/f5-patches-big-ip-elevation-of-privilege-bug.html

“HM Surf” macOS 漏洞可让攻击者访问摄像头和麦克风

https://hackread.com/hm-surf-macos-flaw-attackers-access-camera-mic/

Kubernetes 镜像生成器中存在严重漏洞,导致节点面临 Root 访问权限

https://thecyberexpress.com/kubernetes-image-builder-vulnerability/

Linux 上的 Intel、AMD CPU 受到最新披露的 Spectre 绕过的影响

https://www.bleepingcomputer.com/news/security/intel-amd-cpus-on-linux-impacted-by-newly-disclosed-spectre-bypass/

微软披露 macOS 漏洞,可绕过 Safari 浏览器中的隐私控制

https://thehackernews.com/2024/10/microsoft-reveals-macos-vulnerability.html

最常被利用的漏洞是一个已有 4 年历史的漏洞,可能仍然存在于数亿台设备中

https://thecyberexpress.com/most-exploited-vulnerability/

卡巴斯基警告,黑客组织利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯目标

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):卡巴斯基警告,黑客组织利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月21日16:40:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   卡巴斯基警告,黑客组织利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯目标https://cn-sec.com/archives/3293988.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息