趨勢科技披露了LV勒索軟體對約旦一公司的攻擊活動,從分析報告看,LV勒索軟體團夥完全掌握了最新的漏洞攻擊武器,這些武器幾個月前還是APT組織的專屬,如今已擴散成為一般黑産組織的标配了。
趨勢科技研究團隊最近分析了與 LV勒索軟體組相關的感染,這是一種自 2020 年底以來一直活躍的勒索軟體即服務(RaaS) 操作,據報道基于REvil(又名 Sodinokibi)。
趨勢科技認為,操作 LV 勒索軟體的攻擊者隻是替換了 REvil v2.03 測試版的配置,以将 REvil 二進制檔案重新用于勒索軟體操作。
趨勢科技發現針對一家集團附屬公司最近進行的一次入侵,該入侵涉及破壞一家位于約旦的公司的企業環境。在此事件中,攻擊者使用雙重勒索技術勒索受害者,除了加密受害者的檔案外,還威脅釋放據稱被盜的資料。
LV 勒索軟體感染後的勒索資訊截圖
已觀察到ProxyShell(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)和 ProxyLogon(CVE-2021-26855和CVE-2021-27065)漏洞被攻擊者利用以針對政府機構。同樣,此攻擊的初始通路部分始于目标環境中的Exchange伺服器,當時一個 Web Shell 檔案于 2022 年 9 月上旬通過 ProxyShell 漏洞被丢棄到公共通路檔案夾中。
攻擊者随後執行了一個持久的惡意 PowerShell 代碼,該代碼用于從惡意 IP 位址 185[.]82[.]219[.]201 下載下傳并執行伺服器中的另一個 PowerShell 後門檔案
從系統資料庫項中看到的持久 PowerShell 代碼
在 Exchange 伺服器上運作的惡意 PowerShell 代碼
對于憑證通路和橫向移動階段,攻擊者使用 Mimikatz 轉儲憑證,而 NetScan 和 Advanced Port Scanner 用于發現。
一旦攻擊者使用受感染的域管理者帳戶通過遠端桌面協定 (RDP) 通路域控制器,攻擊者就會利用域控制器建立包含惡意計劃任務、惡意組政策,向目标網絡部署勒索軟體。