Python后门助阵RansomHub勒索软件,利用网络漏洞发起攻击

admin 2025年1月27日00:58:35评论30 views字数 1328阅读4分25秒阅读模式
Python后门助阵RansomHub勒索软件,利用网络漏洞发起攻击

近日,网络安全研究人员披露了一起利用Python后门维持对受感染设备的持久访问,并进一步部署RansomHub勒索软件的攻击事件。GuidePoint Security的研究显示,攻击者通过名为SocGholish(又名FakeUpdates)的JavaScript恶意软件实现初始访问,随后在横向移动中利用RDP会话将Python后门传播到同一网络中的其他设备。

攻击流程解析

  1. 初始访问:攻击者通过SocGholish恶意软件实现初始入侵。该恶意软件通常通过伪装成虚假浏览器更新的方式传播,利用黑帽SEO技术将受害者重定向到合法但被感染的网站。SocGholish执行后会连接到攻击者控制的服务器,以获取第二阶段的恶意负载。

  2. Python后门部署:在初始感染约20分钟后,攻击者投放了Python后门。该后门充当反向代理,连接到硬编码的IP地址,并通过基于SOCKS5协议的隧道实现横向移动。

  3. 勒索软件投放:攻击者利用后门在网络中横向移动,最终部署RansomHub勒索软件。

Python后门的特点

该Python后门自2023年12月初开始活跃,并在2024年2月由ReliaQuest首次记录。其代码经过精心设计,具有高度可读性和错误处理能力,研究人员推测攻击者可能依赖人工智能工具辅助编写代码。后门的主要功能包括:

  • 通过SOCKS5协议建立隧道,利用受害系统作为代理进行横向移动。

  • 高度模块化设计,支持扩展功能以规避检测。

勒索攻击的常见工具

除了Python后门,勒索攻击中常用的工具还包括:

  • EDRSilencer和Backstab:用于禁用端点检测与响应(EDR)解决方案。

  • LaZagne:用于窃取凭证。

  • MailBruter:通过暴力破解攻击邮箱账户。

  • Sirefef和Mediyes:用于维持隐蔽访问并投放额外负载。

针对AWS S3桶的勒索攻击

Halcyon近期还发现,勒索攻击者利用Amazon Web Services的服务器端加密(SSE-C)功能,加密受害者存储在S3桶中的数据。攻击者通过滥用公开的AWS密钥,使用S3对象生命周期管理API标记文件在7天内删除,以迫使受害者支付赎金。

钓鱼攻击的新趋势

与此同时,SlashNext报告称,模仿Black Basta勒索团伙的“快速轰炸”钓鱼攻击激增。攻击者通过发送大量合法邮件(如新闻通讯或付款通知)淹没受害者邮箱,随后冒充技术支持人员通过电话或Microsoft Teams消息诱导受害者安装远程访问软件(如TeamViewer或AnyDesk),从而进一步渗透网络。

防御建议

  1. 及时更新软件:确保所有系统和应用程序运行最新版本,修复已知漏洞。

  2. 加强端点防护:部署EDR解决方案并定期监控异常活动。

  3. 限制网络访问:严格控制RDP等远程访问服务的权限。

  4. 提高员工意识:培训员工识别钓鱼攻击和恶意软件传播手段。

结语:

此次攻击事件再次凸显了勒索软件攻击的复杂性和多样性。攻击者利用Python后门、AWS服务以及钓鱼手段,展示了其不断演变的战术和技术。企业和个人应保持高度警惕,采取多层次的安全措施,以应对日益严峻的网络威胁。

原文始发于微信公众号(技术修道场):Python后门助阵RansomHub勒索软件,利用网络漏洞发起攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月27日00:58:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Python后门助阵RansomHub勒索软件,利用网络漏洞发起攻击https://cn-sec.com/archives/3669293.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息