The Hacker News 網站披露,網絡安全研究人員發現一種名為 CACTUS 的新型勒索軟體正在利用 VPN 裝置中的漏洞,對大型商業實體進行網絡攻擊。
Kroll 公司在與 The Hacker News 分享的一份報告中表示 CACTUS 一旦進入受害者網絡系統,就開始嘗試枚舉本地帳戶、網絡使用者帳戶以及可通路的端點,建立新使用者帳戶,随後利用自定義腳本通過預定任務自動部署和“引爆”勒索軟體加密器。
CACTUS 善于利用各種工具
自 2023 年 3 月以來,安全研究人員多次觀察到 CACTUS 勒索軟體一直針對大型商業實體。此外,網絡攻擊者采用了雙重勒索政策,在加密前竊取敏感資料。值得一提的是,截至目前為止尚未發現任何資料洩露。
CACTUS 惡意軟體利用存在漏洞 VPN 裝置後,進入目标系統,設定一個 SSH 後門,以謀求後續能夠“長久”入侵。在完成上述步驟後,開始執行一系列 PowerShell 指令進行網絡掃描,并确定用于加密的計算機清單。
此外,在 CACTUS 惡意軟體攻擊過程中,還利用 Cobalt Strike 和 Chisel 隧道工具進行指令和控制,同時也“積極”利用 AnyDesk 等遠端監控和管理(RMM)軟體向受感染的主機推送檔案。安全研究人員還觀察到 CACTUS 惡意軟體感染過程中禁用和解除安裝目标系統的安全解決方案,以及從 Web 浏覽器和本地本機安全性授權服務(LSASS)中提取憑證以提升自身權限。
CACTUS 惡意軟體權限提升主要通過橫向移動、資料滲出和贖金軟體部署來實作,其中贖金軟體是通過 PowerShell 腳本實作的(Black Basta 也使用過類似方法)。
Cactus 與其它惡意軟體存在明顯差異
與其它勒索軟體相比,Cactus 的不同之處在于其使用加密來保護勒索軟體二進制檔案,Kroll 負責網絡風險的副董事總經理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本質上是對自身進行加密,使其更難檢測,并幫助其避開防病毒和網絡監控工具。(CACTUS 勒索軟體使用批處理腳本提取 7-Zip 的勒索軟體二進制檔案,然後在執行有效負載之前删除 .7z 檔案。)
Cactus 勒索軟體存在三種主要的執行模式,每種模式都使用特定的指令行開關進行選擇:設定(-s)、讀取配置(-r)和加密(-i)。-s和-r參數允許威脅攻擊者設定持久化并将資料存儲在 C: ProgramData ntuser.dat 檔案中,加密器稍後在使用 -r 指令行參數運作時讀取該檔案。
從研究人員的分析結果來看,CACTUS 勒索軟體變體主要通過利用 VPN 裝置中的漏洞,侵入目标受害者網絡,這表明部分威脅攻擊者一直在對遠端通路服務和未修補的漏洞,進行初始入侵。 幾天前,趨勢科技也發現名為 Rapture 的勒索軟體,它的整個感染鍊最多可持續三到五天。
最後,研究人員強調有理由懷疑,攻擊活動是通過易受攻擊網站和伺服器促進入内部系統的,是以實體組織必須采取措施保持系統的最新狀态,并執行最低特權原則(PoLP)。
翻譯自 https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html