目录导航
一项新的研究发现,一家讲俄语的勒索软件组织可能通过重新利用其他 APT 组织(如伊朗的 MuddyWater)开发的定制工具来针对欧洲和中美洲赌博和游戏行业的一个未命名实体。
以色列事件响应公司 Security Joes 的研究人员 Felipe Duarte 和 Ido Naor表示,这种不寻常的攻击链涉及滥用被盗凭据以未经授权访问受害者网络,最终导致在受损资产上部署 Cobalt Strike 有效载荷。
尽管在此阶段感染已得到控制,但研究人员将此次入侵描述为疑似勒索软件攻击的案例。
据说这次入侵发生在 2022 年 2 月,攻击者利用了ADFind、NetScan、SoftPerfect和LaZagne等后期利用工具。还使用了一个 AccountRestore 可执行文件来暴力破解管理员凭据,以及一个名为 Ligolo 的反向隧道工具的分叉版本。
被称为 Sockbot 的修改变体是一个 Golang 二进制文件,旨在以隐蔽和安全的方式将内部资产从受感染的网络公开到互联网。对恶意软件所做的更改消除了使用命令行参数的需要,并包括多项执行检查以避免运行多个实例。
鉴于 Ligolo 是伊朗民族国家组织 MuddyWater选择的主要工具,使用 Ligolo 叉子增加了攻击者使用其他组织使用的工具并合并他们自己的签名以可能试图混淆归属的可能性.
与讲俄语的勒索软件组的链接来自与常见勒索软件工具包重叠的工件。此外,已部署的二进制文件之一 (AccountRestore) 包含俄语硬编码引用。
“威胁行为者用来访问和控制受害者基础设施的策略让我们看到了一个顽固的、老练的敌人,具有一定的编程技能、红队经验和明确的目标,这与常规脚本小子配置文件相去甚远,”研究人员说。
“这种入侵的切入点是一组被泄露的凭据,这一事实确保了对任何组织中的所有不同资产应用额外访问控制的重要性。”
分析报告下载地址
https://secjoes-reports.s3.eu-central-1.amazonaws.com/Sockbot%2Bin%2BGoLand.pdf
云中转网盘:
转载请注明出处及链接