新型勒索軟件 CACTUS 利用 VPN 漏洞開展攻擊活動(dòng)
2023年05月10日
The Hacker News 網(wǎng)站披露,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一種名為 CACTUS 的新型勒索軟件正在利用 VPN 設(shè)備中的漏洞��,對(duì)大型商業(yè)實(shí)體進(jìn)行網(wǎng)絡(luò)攻擊��。
Kroll 公司在與 The Hacker News 分享的一份報(bào)告中表示 CACTUS 一旦進(jìn)入受害者網(wǎng)絡(luò)系統(tǒng),就開始嘗試枚舉本地帳戶���、網(wǎng)絡(luò)用戶帳戶以及可訪問的端點(diǎn),創(chuàng)建新用戶帳戶���,隨后利用自定義腳本通過預(yù)定任務(wù)自動(dòng)部署和“引爆”勒索軟件加密器。
CACTUS 善于利用各種工具
自 2023 年 3 月以來���,安全研究人員多次觀察到 CACTUS 勒索軟件一直針對(duì)大型商業(yè)實(shí)體。此外��,網(wǎng)絡(luò)攻擊者采用了雙重勒索策略��,在加密前竊取敏感數(shù)據(jù)�����。值得一提的是,截至目前為止尚未發(fā)現(xiàn)任何數(shù)據(jù)泄露��。
CACTUS 惡意軟件利用存在漏洞 VPN 設(shè)備后�����,進(jìn)入目標(biāo)系統(tǒng)����,設(shè)置一個(gè) SSH 后門��,以謀求后續(xù)能夠“長(zhǎng)久”入侵��。在完成上述步驟后,開始執(zhí)行一系列 PowerShell 命令進(jìn)行網(wǎng)絡(luò)掃描���,并確定用于加密的計(jì)算機(jī)列表。
此外��,在 CACTUS 惡意軟件攻擊過程中����,還利用 Cobalt Strike 和 Chisel 隧道工具進(jìn)行命令和控制�����,同時(shí)也“積極”利用 AnyDesk 等遠(yuǎn)程監(jiān)控和管理(RMM)軟件向受感染的主機(jī)推送文件�����。安全研究人員還觀察到 CACTUS 惡意軟件感染過程中禁用和卸載目標(biāo)系統(tǒng)的安全解決方案,以及從 Web 瀏覽器和本地安全子系統(tǒng)服務(wù)(LSASS)中提取憑證以提升自身權(quán)限��。
CACTUS 惡意軟件權(quán)限提升主要通過橫向移動(dòng)�����、數(shù)據(jù)滲出和贖金軟件部署來實(shí)現(xiàn)�����,其中贖金軟件是通過 PowerShell 腳本實(shí)現(xiàn)的(Black Basta 也使用過類似方法)。
Cactus 與其它惡意軟件存在明顯差異
與其它勒索軟件相比�����,Cactus 的不同之處在于其使用加密來保護(hù)勒索軟件二進(jìn)制文件����,Kroll 負(fù)責(zé)網(wǎng)絡(luò)風(fēng)險(xiǎn)的副董事總經(jīng)理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本質(zhì)上是對(duì)自身進(jìn)行加密,使其更難檢測(cè),并幫助其避開防病毒和網(wǎng)絡(luò)監(jiān)控工具。(CACTUS 勒索軟件使用批處理腳本提取 7-Zip 的勒索軟件二進(jìn)制文件��,然后在執(zhí)行有效負(fù)載之前刪除 .7z 檔案。)
Cactus 勒索軟件存在三種主要的執(zhí)行模式�,每種模式都使用特定的命令行開關(guān)進(jìn)行選擇:設(shè)置(-s)、讀取配置(-r)和加密(-i)。-s和-r參數(shù)允許威脅攻擊者設(shè)置持久化并將數(shù)據(jù)存儲(chǔ)在 C: ProgramData ntuser.dat 文件中��,加密器稍后在使用 -r 命令行參數(shù)運(yùn)行時(shí)讀取該文件����。
從研究人員的分析結(jié)果來看,CACTUS 勒索軟件變體主要通過利用 VPN 設(shè)備中的漏洞,侵入目標(biāo)受害者網(wǎng)絡(luò)��,這表明部分威脅攻擊者一直在對(duì)遠(yuǎn)程訪問服務(wù)和未修補(bǔ)的漏洞����,進(jìn)行初始入侵。 幾天前��,趨勢(shì)科技也發(fā)現(xiàn)名為 Rapture 的勒索軟件��,它的整個(gè)感染鏈最多可持續(xù)三到五天��。
最后,研究人員強(qiáng)調(diào)有理由懷疑���,攻擊活動(dòng)是通過易受攻擊網(wǎng)站和服務(wù)器促進(jìn)入內(nèi)部系統(tǒng)的,因此實(shí)體組織必須采取措施保持系統(tǒng)的最新狀態(tài)��,并執(zhí)行最低特權(quán)原則(PoLP)��。
來源:FreeBuf.COM
