一种被称为 Hellcat 的复杂勒索软件自 2024 年年中首次出现以来,已成为网络安全领域的一大威胁。该恶意软件迅速发展其能力,专门针对关键部门,包括政府机构、教育机构和能源基础设施。该勒索软件在 Ransomware-as-a-Service (RaaS) 模式下运行,允许附属机构部署该恶意软件,同时与开发人员分享利润。这种商业模式加速了 Hellcat 在全球各行业的扩散,攻击的复杂程度不断提高。
Broadcom 研究人员发现了 Hellcat 的高级利用能力,并指出其成功利用了零日漏洞,包括最近在 Atlassian Jira 中的一个漏洞,以在目标环境中获得最初的立足点。
他们的分析表明,Hellcat 通过多阶段攻击方法展示了卓越的绕过传统安全控制的能力,采用反射式代码加载技术直接在内存中执行恶意代码,有效规避了基于文件的安全解决方案的检测。
Hellcat 的攻击链始于通过包含恶意附件的鱼叉式网络钓鱼电子邮件或利用面向公众的应用程序进行初始访问,通常利用零日漏洞。成功入侵后,攻击者部署了一个复杂的多阶段 PowerShell 感染链,该链通过修改 Windows 注册表运行键来建立持久性,确保恶意脚本在用户登录时自动执行。最后阶段涉及通过 shellcode 负载部署 SliverC2,这是一个命令和控制框架,它授予对受感染环境的持久远程访问权限。
原文始发于微信公众号(独眼情报):美国空军对 Hellcat 勒索软件的分析,就这?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论