新型勒索软件 CACTUS 利用 VPN 漏洞开展攻击活动
source link: https://www.51cto.com/article/754311.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
新型勒索软件 CACTUS 利用 VPN 漏洞开展攻击活动
The Hacker News 网站披露,网络安全研究人员发现一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞,对大型商业实体进行网络攻击。
Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统,就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点,创建新用户帐户,随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。
CACTUS 善于利用各种工具
自 2023 年 3 月以来,安全研究人员多次观察到 CACTUS 勒索软件一直针对大型商业实体。此外,网络攻击者采用了双重勒索策略,在加密前窃取敏感数据。值得一提的是,截至目前为止尚未发现任何数据泄露。
CACTUS 恶意软件利用存在漏洞 VPN 设备后,进入目标系统,设置一个 SSH 后门,以谋求后续能够“长久”入侵。在完成上述步骤后,开始执行一系列 PowerShell 命令进行网络扫描,并确定用于加密的计算机列表。
此外,在 CACTUS 恶意软件攻击过程中,还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制,同时也“积极”利用 AnyDesk 等远程监控和管理(RMM)软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS 恶意软件感染过程中禁用和卸载目标系统的安全解决方案,以及从 Web 浏览器和本地安全子系统服务(LSASS)中提取凭证以提升自身权限。
CACTUS 恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现,其中赎金软件是通过 PowerShell 脚本实现的(Black Basta 也使用过类似方法)。
Cactus 与其它恶意软件存在明显差异
与其它勒索软件相比,Cactus 的不同之处在于其使用加密来保护勒索软件二进制文件,Kroll 负责网络风险的副董事总经理 Laurie Iacono 向 The Hacker News 透漏,CACTUS 本质上是对自身进行加密,使其更难检测,并帮助其避开防病毒和网络监控工具。(CACTUS 勒索软件使用批处理脚本提取 7-Zip 的勒索软件二进制文件,然后在执行有效负载之前删除 .7z 档案。)
Cactus 勒索软件存在三种主要的执行模式,每种模式都使用特定的命令行开关进行选择:设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行参数运行时读取该文件。
从研究人员的分析结果来看,CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞,侵入目标受害者网络,这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞,进行初始入侵。 几天前,趋势科技也发现名为 Rapture 的勒索软件,它的整个感染链最多可持续三到五天。
最后,研究人员强调有理由怀疑,攻击活动是通过易受攻击网站和服务器促进入内部系统的,因此实体组织必须采取措施保持系统的最新状态,并执行最低特权原则(PoLP)。
参考文章:
- https://thehackernews.com/2023/05/new-ransomware-strain-cactus-exploits.html;
- http://news.sohu.com/a/674128507_469619
Recommend
-
17
利用勒索软件Locky的漏洞来免疫系统 netwind
-
7
新型勒索软件在2020年严重扰乱了制造业,今年第三季度出现了一种令人不安的趋势,攻击者似乎在其勒索软件运营中把制造企业作为攻击目标。 一下是来自趋势科技智能保护网络的数据,显示了勒索软件攻击行动对不同行业的影响。...
-
7
利用加密算法漏洞提取Hive勒索软件Master Key-51CTO.COM 利用加密算法漏洞提取Hive勒索软件Master Key 作者:ang010ela 2022-02-25 16:10:58 研究人员利用Hive勒索软件使用的加密算法中的安全漏...
-
10
A new sci-fi racing game and the return of Cactus Cowboy are just some of the new VR games on our radar this week! Every week we get a lot of updates on new VR games at Upload – so much so that we don’t have time to cover them all. Thi...
-
8
新型勒索软件Cheers正攻击VMware ESXi 服务器-51CTO.COM
-
7
← 这一新发现的基因使我们有望逆转耳聋majer @ 2022.05.29 , 00:19...
-
5
新型勒索软件Nokoyawa简析-51CTO.COM 新型勒索软件Nokoyawa简析 作者:聚铭网络 2022-06-04 16:11:14 安全
-
6
SqlObjectMapper This is a library that extends the existing JDBC API so that data objects can be used as input (to set parameters) and output (from ResultSet's rows). Two kinds of data object is currently supported: Ja...
-
8
US Markets Loading... In the news ...
-
4
利用MOVEit 漏洞,Clop 勒索软件赎金收入将达上亿美元 作者:Zicheng 2023-07-24 16:29:17 安全 随着近期Clop 勒索软件组织利用 MOV...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK