新的 BlackCat 勒索软件变种采用先进的 Impacket 和 RemCom 工具

微软周四透露，它发现了BlackCat勒索软件（又名 ALPHV 和 Noberus）的新版本，该勒索软件嵌入了 Impacket 和 RemCom 等工具，以促进横向移动和远程代码执行。

该公司的威胁情报团队在 X（前身为 Twitter）上发布的一系列帖子中表示：“ Impacket 工具具有凭证转储和远程服务执行模块，可用于在目标环境中广泛部署 BlackCat 勒索软件。”

“这个 BlackCat 版本还在可执行文件中嵌入了RemCom 黑客工具，用于远程执行代码。该文件还包含硬编码的受损目标凭据，攻击者可使用这些凭据进行横向移动和进一步的勒索软件部署。”

RemCom 被宣传为 PsExec 的开源替代品，过去曾被Dalbit和Chafer （又名 Remix Kitten）等中国和伊朗民族国家威胁行为者用来在受害者环境中移动。

雷德蒙德表示，它于 2023 年 7 月开始观察 BlackCat 附属机构发起的攻击中的新变种。

两个月前，IBM Security X-Force披露了名为 Sphynx 的 BlackCat 更新版本的详细信息，该版本于 2023 年 2 月首次出现，提高了加密速度和隐蔽性，表明威胁行为者不断努力改进和重组勒索软件。

IBM Security X-Force 在 2023 年 5 月下旬指出：“BlackCat 勒索软件样本不仅包含勒索软件功能，还可以充当‘工具包’。”“附加字符串表明该工具基于 Impacket 的工具。”

该网络犯罪组织于 2021 年 11 月发起行动，其特点是不断发展，最近发布了数据泄露 API，以提高其攻击的可见性。根据 Rapid7 的2023年年中威胁评估，在总共 1,500 起勒索软件攻击中，有 212 起是 BlackCat 造成的。

不仅仅是 BlackCat，古巴（又名 COLDRAW）勒索软件威胁组织也被观察到使用包含BUGHATCH（自定义下载器）的综合攻击工具集；BURNTCIGAR，反恶意软件杀手；Wedgecut，主机枚举实用程序；元分析；和 Cobalt Strike 框架。

特别是 BURNTCIGAR，它的特点是进行了底层修改，以合并要终止的目标进程的散列硬编码列表，这可能是为了阻止分析。

据称，该组织于 2023 年 6 月上旬发动的一次攻击将CVE-2020-1472 (Zerologon) 和CVE-2023-27532武器化，这是 Veeam Backup & Replication 软件中的一个高严重性缺陷，此前曾被FIN7 团伙，从配置文件中窃取凭据。

加拿大网络安全公司黑莓表示，这标志着该组织“首次观察到利用 Veeam 漏洞 CVE-2023-27532 的漏洞”。初始访问是通过 RDP 泄露的管理员凭据来实现的。

它补充说：“古巴勒索软件运营商继续回收网络基础设施，并使用一组核心 TTP，他们在每次活动中都对这些 TTP 进行了巧妙的修改，一旦有机会，通常会采用现成的组件来升级他们的工具集。”

勒索软件仍然是出于经济动机的威胁行为者的主要赚钱工具，尽管执法部门加大了打击勒索软件的力度，但 2023 年上半年勒索软件的复杂程度和数量都超过了 2022 年全年。

一些组织还开始从加密转向纯粹的渗透和勒索，或者诉诸三重勒索，其中攻击超出了数据加密和盗窃的范围，以勒索受害者的员工或客户，并进行 DDoS 攻击以施加更大的压力。

Zscaler在其 2023 年勒索软件报告中表示：“无加密勒索攻击越来越流行，这种攻击跳过了加密过程，采用了相同的策略，威胁如果受害者不付款，就会在线泄露他们的数据。” “这种策略通过消除软件开发周期和解密支持，为勒索软件团伙带来更快、更大的利润。”

“这些攻击也更难检测，也较少受到当局的关注，因为它们不会锁定关键文件和系统，也不会导致与恢复相关的停机。因此，无加密勒索攻击往往不会扰乱受害者的业务运营，从而导致报告率较低。”

勒索软件攻击者的第二个增长趋势是采用间歇性加密，仅加密每个文件的部分内容，以加快处理速度，并避开安全解决方案的检测，“利用进程写入磁盘的内容量”。他们的启发式方法来识别勒索软件。”

另一个值得注意的策略是将托管服务提供商 (MSP) 作为攻击下游企业网络的入口点，针对金融、软件、法律、航运和物流行业以及州、地方、地区的Play 勒索软件活动就证明了这一点。美国、澳大利亚、英国和意大利的部落和领地 (SLTT) 实体。

Adlumin表示，这些攻击利用“服务提供商使用的远程监控和管理（RMM）软件来直接访问客户的环境，绕过其大部分防御措施”，从而为威胁行为者提供不受限制的特权访问网络。

威胁行为者一再滥用合法的 RMM 软件，导致美国政府发布了网络防御计划，以减轻对 RMM 生态系统的威胁。

“网络威胁行为者可以通过 RMM 软件进入托管服务提供商 (MSP) 或管理安全服务提供商 (MSSP) 服务器，进而可能对作为 MSP/MSSP 客户的中小型组织造成连锁影响， ”美国网络安全和基础设施安全局（CISA）警告说。

（该报道的早期版本错误地提到，Veeam 备份服务中的安全缺陷被用来获得初始访问权限。该报道已更新，以反映该问题在后利用过程中被利用。）

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7792.html