文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新型勒索软件 CACTUS 利用 VPN 漏洞开展攻击活动

2024-11-30 14:16

关注

Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统,就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点,创建新用户帐户,随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。

CACTUS  善于利用各种工具

自 2023 年 3 月以来,安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外,网络攻击者采用了双重勒索策略,在加密前窃取敏感数据。值得一提的是,截至目前为止尚未发现任何数据泄露。

CACTUS 恶意软件利用存在漏洞 VPN 设备后,进入目标系统,设置一个 SSH 后门,以谋求后续能够“长久”入侵。在完成上述步骤后,开始执行一系列 PowerShell 命令进行网络扫描,并确定用于加密的计算机列表。

此外,在 CACTUS 恶意软件攻击过程中,还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制,同时也“积极”利用 AnyDesk 等远程监控和管理(RMM)软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS  恶意软件感染过程中禁用和卸载目标系统的安全解决方案,以及从 Web 浏览器和本地安全子系统服务(LSASS)中提取凭证以提升自身权限。

CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现,其中赎金软件是通过 PowerShell 脚本实现的(Black Basta 也使用过类似方法)。

Cactus 与其它恶意软件存在明显差异

与其它勒索软件相比,Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件,Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本质上是对自身进行加密,使其更难检测,并帮助其避开防病毒和网络监控工具。(CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件,然后在执行有效负载之前删除 .7z 档案。)

Cactus 勒索软件存在三种主要的执行模式,每种模式都使用特定的命令行开关进行选择:设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行参数运行时读取该文件。

从研究人员的分析结果来看,CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞,侵入目标受害者网络,这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞,进行初始入侵。 几天前,趋势科技也发现名为 Rapture 的勒索软件,它的整个感染链最多可持续三到五天。

最后,研究人员强调有理由怀疑,攻击活动是通过易受攻击网站和服务器促进入内部系统的,因此实体组织必须采取措施保持系统的最新状态,并执行最低特权原则(PoLP)。

参考文章:

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯