The Hacker News 網(wǎng)站披露,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一種名為 CACTUS 的新型勒索軟件正在利用 VPN 設(shè)備中的漏洞,對(duì)大型商業(yè)實(shí)體進(jìn)行網(wǎng)絡(luò)攻擊。
Kroll 公司在與 The Hacker News 分享的一份報(bào)告中表示 CACTUS 一旦進(jìn)入受害者網(wǎng)絡(luò)系統(tǒng),就開(kāi)始嘗試枚舉本地帳戶(hù)、網(wǎng)絡(luò)用戶(hù)帳戶(hù)以及可訪(fǎng)問(wèn)的端點(diǎn),創(chuàng)建新用戶(hù)帳戶(hù),隨后利用自定義腳本通過(guò)預(yù)定任務(wù)自動(dòng)部署和“引爆”勒索軟件加密器。
CACTUS 善于利用各種工具自 2023 年 3 月以來(lái),安全研究人員多次觀察到 CACTUS 勒索軟件一直針對(duì)大型商業(yè)實(shí)體。此外,網(wǎng)絡(luò)攻擊者采用了雙重勒索策略,在加密前竊取敏感數(shù)據(jù)。值得一提的是,截至目前為止尚未發(fā)現(xiàn)任何數(shù)據(jù)泄露。
(資料圖片)
CACTUS 惡意軟件利用存在漏洞 VPN 設(shè)備后,進(jìn)入目標(biāo)系統(tǒng),設(shè)置一個(gè) SSH 后門(mén),以謀求后續(xù)能夠“長(zhǎng)久”入侵。在完成上述步驟后,開(kāi)始執(zhí)行一系列 PowerShell 命令進(jìn)行網(wǎng)絡(luò)掃描,并確定用于加密的計(jì)算機(jī)列表。
此外,在 CACTUS 惡意軟件攻擊過(guò)程中,還利用 Cobalt Strike 和 Chisel 隧道工具進(jìn)行命令和控制,同時(shí)也“積極”利用 AnyDesk 等遠(yuǎn)程監(jiān)控和管理(RMM)軟件向受感染的主機(jī)推送文件。安全研究人員還觀察到 CACTUS惡意軟件感染過(guò)程中禁用和卸載目標(biāo)系統(tǒng)的安全解決方案,以及從 Web 瀏覽器和本地安全子系統(tǒng)服務(wù)(LSASS)中提取憑證以提升自身權(quán)限。
CACTUS 惡意軟件權(quán)限提升主要通過(guò)橫向移動(dòng)、數(shù)據(jù)滲出和贖金軟件部署來(lái)實(shí)現(xiàn),其中贖金軟件是通過(guò) PowerShell 腳本實(shí)現(xiàn)的(Black Basta 也使用過(guò)類(lèi)似方法)。
Cactus 與其它惡意軟件存在明顯差異與其它勒索軟件相比,Cactus 的不同之處在于其使用加密來(lái)保護(hù)勒索軟件二進(jìn)制文件,Kroll 負(fù)責(zé)網(wǎng)絡(luò)風(fēng)險(xiǎn)的副董事總經(jīng)理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本質(zhì)上是對(duì)自身進(jìn)行加密,使其更難檢測(cè),并幫助其避開(kāi)防病毒和網(wǎng)絡(luò)監(jiān)控工具。(CACTUS 勒索軟件使用批處理腳本提取 7-Zip 的勒索軟件二進(jìn)制文件,然后在執(zhí)行有效負(fù)載之前刪除 .7z 檔案。)
Cactus 勒索軟件存在三種主要的執(zhí)行模式,每種模式都使用特定的命令行開(kāi)關(guān)進(jìn)行選擇:設(shè)置(-s)、讀取配置(-r)和加密(-i)。-s和-r參數(shù)允許威脅攻擊者設(shè)置持久化并將數(shù)據(jù)存儲(chǔ)在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行參數(shù)運(yùn)行時(shí)讀取該文件。
從研究人員的分析結(jié)果來(lái)看,CACTUS 勒索軟件變體主要通過(guò)利用 VPN 設(shè)備中的漏洞,侵入目標(biāo)受害者網(wǎng)絡(luò),這表明部分威脅攻擊者一直在對(duì)遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)和未修補(bǔ)的漏洞,進(jìn)行初始入侵。 幾天前,趨勢(shì)科技也發(fā)現(xiàn)名為 Rapture 的勒索軟件,它的整個(gè)感染鏈最多可持續(xù)三到五天。
最后,研究人員強(qiáng)調(diào)有理由懷疑,攻擊活動(dòng)是通過(guò)易受攻擊網(wǎng)站和服務(wù)器促進(jìn)入內(nèi)部系統(tǒng)的,因此實(shí)體組織必須采取措施保持系統(tǒng)的最新?tīng)顟B(tài),并執(zhí)行最低特權(quán)原則(PoLP)。
參考文章:
https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html;http://news.sohu.com/a/674128507_469619標(biāo)簽: