<ins id="tnc6t"></ins>
<ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
  • <input id="tnc6t"></input>

      <button id="tnc6t"></button>

        1. 新型勒索軟件 CACTUS 利用 VPN 漏洞開展攻擊活動

          2023年05月10日

          The Hacker News 網站披露,網絡安全研究人員發現一種名為 CACTUS 的新型勒索軟件正在利用 VPN 設備中的漏洞,對大型商業實體進行網絡攻擊。

          Kroll 公司在與 The Hacker News 分享的一份報告中表示 CACTUS 一旦進入受害者網絡系統,就開始嘗試枚舉本地帳戶、網絡用戶帳戶以及可訪問的端點,創建新用戶帳戶,隨后利用自定義腳本通過預定任務自動部署和“引爆”勒索軟件加密器。

          CACTUS  善于利用各種工具

          自 2023 年 3 月以來,安全研究人員多次觀察到 CACTUS 勒索軟件一直針對大型商業實體。此外,網絡攻擊者采用了雙重勒索策略,在加密前竊取敏感數據。值得一提的是,截至目前為止尚未發現任何數據泄露。

          CACTUS 惡意軟件利用存在漏洞 VPN 設備后,進入目標系統,設置一個 SSH 后門,以謀求后續能夠“長久”入侵。在完成上述步驟后,開始執行一系列 PowerShell 命令進行網絡掃描,并確定用于加密的計算機列表。

          此外,在 CACTUS 惡意軟件攻擊過程中,還利用 Cobalt Strike 和 Chisel 隧道工具進行命令和控制,同時也“積極”利用 AnyDesk 等遠程監控和管理(RMM)軟件向受感染的主機推送文件。安全研究人員還觀察到 CACTUS  惡意軟件感染過程中禁用和卸載目標系統的安全解決方案,以及從 Web 瀏覽器和本地安全子系統服務(LSASS)中提取憑證以提升自身權限。

          CACTUS 惡意軟件權限提升主要通過橫向移動、數據滲出和贖金軟件部署來實現,其中贖金軟件是通過 PowerShell 腳本實現的(Black Basta 也使用過類似方法)。

          Cactus 與其它惡意軟件存在明顯差異

          與其它勒索軟件相比,Cactus 的不同之處在于其使用加密來保護勒索軟件二進制文件,Kroll 負責網絡風險的副董事總經理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本質上是對自身進行加密,使其更難檢測,并幫助其避開防病毒和網絡監控工具。(CACTUS 勒索軟件使用批處理腳本提取 7-Zip 的勒索軟件二進制文件,然后在執行有效負載之前刪除 .7z 檔案。)

          Cactus 勒索軟件存在三種主要的執行模式,每種模式都使用特定的命令行開關進行選擇:設置(-s)、讀取配置(-r)和加密(-i)。-s和-r參數允許威脅攻擊者設置持久化并將數據存儲在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行參數運行時讀取該文件。

          從研究人員的分析結果來看,CACTUS 勒索軟件變體主要通過利用 VPN 設備中的漏洞,侵入目標受害者網絡,這表明部分威脅攻擊者一直在對遠程訪問服務和未修補的漏洞,進行初始入侵。 幾天前,趨勢科技也發現名為 Rapture 的勒索軟件,它的整個感染鏈最多可持續三到五天。

          最后,研究人員強調有理由懷疑,攻擊活動是通過易受攻擊網站和服務器促進入內部系統的,因此實體組織必須采取措施保持系統的最新狀態,并執行最低特權原則(PoLP)。

           


          來源:FreeBuf.COM

          江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com          

          <ins id="tnc6t"></ins>
          <ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
        2. <input id="tnc6t"></input>

            <button id="tnc6t"></button>

              1. {关键词}