新型勒索軟件 CACTUS 利用 VPN 漏洞開展攻擊活動
2023年05月10日
The Hacker News 網(wǎng)站披露,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一種名為 CACTUS 的新型勒索軟件正在利用 VPN 設(shè)備中的漏洞���,對大型商業(yè)實體進(jìn)行網(wǎng)絡(luò)攻擊���。
Kroll 公司在與 The Hacker News 分享的一份報告中表示 CACTUS 一旦進(jìn)入受害者網(wǎng)絡(luò)系統(tǒng),就開始嘗試枚舉本地帳戶�、網(wǎng)絡(luò)用戶帳戶以及可訪問的端點,創(chuàng)建新用戶帳戶�����,隨后利用自定義腳本通過預(yù)定任務(wù)自動部署和“引爆”勒索軟件加密器�����。
CACTUS 善于利用各種工具
自 2023 年 3 月以來�����,安全研究人員多次觀察到 CACTUS 勒索軟件一直針對大型商業(yè)實體�。此外,網(wǎng)絡(luò)攻擊者采用了雙重勒索策略����,在加密前竊取敏感數(shù)據(jù)����。值得一提的是����,截至目前為止尚未發(fā)現(xiàn)任何數(shù)據(jù)泄露。
CACTUS 惡意軟件利用存在漏洞 VPN 設(shè)備后�����,進(jìn)入目標(biāo)系統(tǒng)����,設(shè)置一個 SSH 后門�,以謀求后續(xù)能夠“長久”入侵。在完成上述步驟后���,開始執(zhí)行一系列 PowerShell 命令進(jìn)行網(wǎng)絡(luò)掃描��,并確定用于加密的計算機(jī)列表��。
此外�����,在 CACTUS 惡意軟件攻擊過程中�,還利用 Cobalt Strike 和 Chisel 隧道工具進(jìn)行命令和控制,同時也“積極”利用 AnyDesk 等遠(yuǎn)程監(jiān)控和管理(RMM)軟件向受感染的主機(jī)推送文件��。安全研究人員還觀察到 CACTUS 惡意軟件感染過程中禁用和卸載目標(biāo)系統(tǒng)的安全解決方案����,以及從 Web 瀏覽器和本地安全子系統(tǒng)服務(wù)(LSASS)中提取憑證以提升自身權(quán)限。
CACTUS 惡意軟件權(quán)限提升主要通過橫向移動��、數(shù)據(jù)滲出和贖金軟件部署來實現(xiàn)�,其中贖金軟件是通過 PowerShell 腳本實現(xiàn)的(Black Basta 也使用過類似方法)。
Cactus 與其它惡意軟件存在明顯差異
與其它勒索軟件相比�����,Cactus 的不同之處在于其使用加密來保護(hù)勒索軟件二進(jìn)制文件�,Kroll 負(fù)責(zé)網(wǎng)絡(luò)風(fēng)險的副董事總經(jīng)理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本質(zhì)上是對自身進(jìn)行加密�����,使其更難檢測��,并幫助其避開防病毒和網(wǎng)絡(luò)監(jiān)控工具。(CACTUS 勒索軟件使用批處理腳本提取 7-Zip 的勒索軟件二進(jìn)制文件�����,然后在執(zhí)行有效負(fù)載之前刪除 .7z 檔案��。)
Cactus 勒索軟件存在三種主要的執(zhí)行模式����,每種模式都使用特定的命令行開關(guān)進(jìn)行選擇:設(shè)置(-s)、讀取配置(-r)和加密(-i)�。-s和-r參數(shù)允許威脅攻擊者設(shè)置持久化并將數(shù)據(jù)存儲在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行參數(shù)運行時讀取該文件����。
從研究人員的分析結(jié)果來看�,CACTUS 勒索軟件變體主要通過利用 VPN 設(shè)備中的漏洞,侵入目標(biāo)受害者網(wǎng)絡(luò)�,這表明部分威脅攻擊者一直在對遠(yuǎn)程訪問服務(wù)和未修補(bǔ)的漏洞,進(jìn)行初始入侵����。 幾天前,趨勢科技也發(fā)現(xiàn)名為 Rapture 的勒索軟件��,它的整個感染鏈最多可持續(xù)三到五天。
最后�����,研究人員強(qiáng)調(diào)有理由懷疑�,攻擊活動是通過易受攻擊網(wǎng)站和服務(wù)器促進(jìn)入內(nèi)部系統(tǒng)的,因此實體組織必須采取措施保持系統(tǒng)的最新狀態(tài)�,并執(zhí)行最低特權(quán)原則(PoLP)。
來源:FreeBuf.COM
