近日,网络安全研究人员披露了一起利用Python后门维持对受感染设备的持久访问,并进一步部署RansomHub勒索软件的攻击事件。GuidePoint Security的研究显示,攻击者通过名为SocGholish(又名FakeUpdates)的JavaScript恶意软件实现初始访问,随后在横向移动中利用RDP会话将Python后门传播到同一网络中的其他设备。
攻击流程解析
-
初始访问:攻击者通过SocGholish恶意软件实现初始入侵。该恶意软件通常通过伪装成虚假浏览器更新的方式传播,利用黑帽SEO技术将受害者重定向到合法但被感染的网站。SocGholish执行后会连接到攻击者控制的服务器,以获取第二阶段的恶意负载。
-
Python后门部署:在初始感染约20分钟后,攻击者投放了Python后门。该后门充当反向代理,连接到硬编码的IP地址,并通过基于SOCKS5协议的隧道实现横向移动。
-
勒索软件投放:攻击者利用后门在网络中横向移动,最终部署RansomHub勒索软件。
Python后门的特点
该Python后门自2023年12月初开始活跃,并在2024年2月由ReliaQuest首次记录。其代码经过精心设计,具有高度可读性和错误处理能力,研究人员推测攻击者可能依赖人工智能工具辅助编写代码。后门的主要功能包括:
-
通过SOCKS5协议建立隧道,利用受害系统作为代理进行横向移动。
-
高度模块化设计,支持扩展功能以规避检测。
勒索攻击的常见工具
除了Python后门,勒索攻击中常用的工具还包括:
-
EDRSilencer和Backstab:用于禁用端点检测与响应(EDR)解决方案。
-
LaZagne:用于窃取凭证。
-
MailBruter:通过暴力破解攻击邮箱账户。
-
Sirefef和Mediyes:用于维持隐蔽访问并投放额外负载。
针对AWS S3桶的勒索攻击
Halcyon近期还发现,勒索攻击者利用Amazon Web Services的服务器端加密(SSE-C)功能,加密受害者存储在S3桶中的数据。攻击者通过滥用公开的AWS密钥,使用S3对象生命周期管理API标记文件在7天内删除,以迫使受害者支付赎金。
钓鱼攻击的新趋势
与此同时,SlashNext报告称,模仿Black Basta勒索团伙的“快速轰炸”钓鱼攻击激增。攻击者通过发送大量合法邮件(如新闻通讯或付款通知)淹没受害者邮箱,随后冒充技术支持人员通过电话或Microsoft Teams消息诱导受害者安装远程访问软件(如TeamViewer或AnyDesk),从而进一步渗透网络。
防御建议
-
及时更新软件:确保所有系统和应用程序运行最新版本,修复已知漏洞。
-
加强端点防护:部署EDR解决方案并定期监控异常活动。
-
限制网络访问:严格控制RDP等远程访问服务的权限。
-
提高员工意识:培训员工识别钓鱼攻击和恶意软件传播手段。
结语:
此次攻击事件再次凸显了勒索软件攻击的复杂性和多样性。攻击者利用Python后门、AWS服务以及钓鱼手段,展示了其不断演变的战术和技术。企业和个人应保持高度警惕,采取多层次的安全措施,以应对日益严峻的网络威胁。
原文始发于微信公众号(技术修道场):Python后门助阵RansomHub勒索软件,利用网络漏洞发起攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论