最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。
Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。
分支机构通常是负责在目标网络中获得初始立足点的攻击者。
Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。”
“后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的,但现在已被整合到针对性攻击的工具包——包括勒索软件。”
2019年8月,Proofpoint首次记录了SystemBC。它是一种代理恶意软件,它利用SOCKS5互联网协议屏蔽命令和控制(C2)服务器的流量并下载DanaBot银行木马。
此后,SystemBC RAT利用新特性扩展了工具集的范围,允许它使用Tor连接来加密和隐藏C2通信的目的地,从而为攻击者提供一个持久的后门来发起其他攻击。
研究人员指出,SystemBC已被用于许多勒索软件攻击中,通常与其他后攻击工具(如cobaltstake)一起使用,以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本,以及服务器通过匿名连接发送的其他DLL blob。
另外,SystemBC似乎只是众多商品工具中的一个,这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序,这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的,或者勒索软件攻击者本身通过多个恶意软件即服务发起的。
研究人员表示:“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动,而无需动用键盘。”
商品恶意软件的兴起也表明了一种新的趋势,即勒索软件作为服务提供给附属公司,就像MountLocker那样,攻击者向附属公司提供双重勒索能力,以便以最小的代价分发勒索软件。
Gallagher表示:“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式,IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
请登录后发表评论
注册