勒索软件操作使用合法的 Kickidler 员工监控软件进行侦察、跟踪受害者的活动并在入侵其网络后获取凭证。
在网络安全公司Varonis和Synacktiv观察到的攻击中,Qilin 和 Hunters International 勒索软件分支机构安装了 Kickidler,这是一种员工监控工具,可以捕获击键、截取屏幕截图和创建屏幕视频。
Kickidler 的开发人员表示,该工具已被来自 60 个国家的 5,000 多个组织使用,并提供可视化监控和数据丢失预防功能。
攻击始于攻击者在用户搜索 RVTools(一款用于管理 VMware vSphere 部署的免费 Windows 实用程序)时,植入 Google 广告。点击该广告后,用户会跳转到一个伪造的 RVTools 网站 (rv-tool[.]net),该网站会推广一个被木马感染的程序版本。
该程序是一个恶意软件加载器,它下载并运行 SMOKEDHAM PowerShell .NET 后门,用于在设备上部署 Kickidler。
虽然这些攻击的目标是企业管理员,他们的帐户通常会在被入侵后为攻击者提供特权凭证,但瓦罗尼斯认为,他们可能已经访问了受害者的系统数天甚至数周,以收集访问异地云备份所需的凭证而不会被发现。
Varonis 告诉 BleepingComputer:“鉴于近年来攻击者越来越多地瞄准备份解决方案,防御者正在将备份系统身份验证与 Windows 域分离。此措施可防止攻击者即使获得高级 Windows 凭据也无法访问备份。”
Kickidler 通过捕获管理员工作站的按键和网页来解决这个问题。这使得攻击者能够识别异地云备份并获取访问所需的密码。无需转储内存或其他更容易被发现的高风险策略即可完成此操作。
在这两起案件中,勒索软件运营商在被攻破的网络上恢复恶意活动后,部署了针对受害者 VMware ESXi 基础架构的有效载荷,加密了 VMDK 虚拟硬盘驱动器并造成了大范围破坏。
Synacktiv 表示,Hunters International 使用的部署脚本利用 VMware PowerCLI 和 WinSCP Automation 来启用 SSH 服务、部署勒索软件并在 ESXi 服务器上执行。
虽然员工监控软件不是勒索软件团伙的首选工具,但多年来他们一直在滥用合法的远程监控和管理 (RMM) 软件。
正如 CISA、NSA 和 MS-ISAC 在2023 年 1 月的联合咨询中警告的那样,参与许多勒索软件行动的攻击者正在诱骗受害者安装便携式远程桌面解决方案,以绕过软件控制并接管他们的系统,而无需管理员权限。
自 2022 年 10 月中旬以来,CISA 还发现多个联邦民事行政部门(FCEB) 机构网络中存在与此类攻击相关的恶意活动。
最近,有攻击者瞄准易受攻击的 SimpleHelp RMM 客户端来创建管理员帐户、安装后门,并可能为 Akira 勒索软件攻击做好准备。
为了防御潜在的安全漏洞,建议网络防御者审核已安装的远程访问工具并识别授权的 RMM 软件。
还建议使用应用程序控制来防止执行未经授权的 RMM 软件,并强制使用仅授权的远程桌面工具以及经批准的远程访问解决方案,例如 VPN 或 VDI。
此外,如果不使用,安全团队应该阻止标准 RMM 端口和协议上的入站和出站连接。
原文始发于微信公众号(犀牛安全):Kickidler 员工监控软件遭勒索软件攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4138729.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论