网络间谍可能以发动勒索软件攻击作为副业

赛门铁克在最新报告中指出，最近的一次勒索软件攻击中使用了网络间谍组织常用的工具，攻击很可能是由个人黑客实施的。

该工具集包括一个合法的东芝可执行文件，部署在受害者的系统上，以侧载一个恶意 DLL，该恶意 DLL 会部署一个包含 PlugX（又名 Korplug）后门的高度混淆的有效载荷。

据赛门铁克称，该定制后门之前与间谍组织Mustang Panda （又名 Earth Preta）有关，从未被其他国家的威胁组织使用过。

2024 年 7 月至 2025 年 1 月期间，PlugX变种被用于攻击欧洲、东南亚特定目标。

赛门铁克指出，所有这些入侵都以间谍活动为中心，但 2024 年 11 月对南亚一家中型软件和服务公司的勒索行为也使用了同样的工具集。

攻击者使用东芝可执行文件侧载恶意 DLL 并部署在间谍攻击中观察到的相同 PlugX 变种，然后在受害者的系统上执行了名为 RA World 的勒索软件。

据报道，攻击者利用了已知Palo Alto Networks 防火墙漏洞(CVE-2024-0012) 进行初始访问。攻击者表示，他们从组织的内联网获取了管理凭据，从 Veeam 服务器窃取了 Amazon S3 凭据，并从 S3 存储桶中窃取了数据，然后执行了文件加密勒索软件。

间谍组织使用的大多数工具都不公开，这意味着有权访问这些工具的内部人员很可能在勒索软件攻击中使用了这些工具集。

赛门铁克表示，此次勒索软件攻击很可能是由某个想“利用雇主的工具包赚点外快”的个人发起的。

虽然勒索软件有可能是间谍行动中的诱饵，但 Synantec 指出，该目标并不具有战略重要性，攻击者未能有效掩盖其踪迹，而且犯罪者似乎对收取赎金感兴趣，并愿意花时间与受害者通信。

赛门铁克指出，通常只看到曹县朝鲜威胁组织采用这种策略。

技术报告：

https://www.security.com/threat-intelligence/chinese-espionage-ransomware

新闻链接：

https://www.securityweek.com/chinese-cyberspy-possibly-launching-ransomware-attacks-as-side-job/

讲述普通人能听懂的安全故事