勒索軟體BlackByte利用VMware虛擬化平臺漏洞發動攻擊

今年6月VMware修補虛擬化平臺ESXi的身分驗證繞過漏洞CVE-2024-37085，隔月微軟警告有多個勒索軟體駭客組織將其用於攻擊行動，如今也有其他駭客組織跟進。

根據思科旗下威脅情報團隊Talos的監控，勒索軟體駭客組織BlackByte就是一例。

BlackByte疑似透過暴力破解取得初始存取權限，利用VPN存取受害組織內部網路環境，然後入侵2個管理員層級的帳號提升權限，其中1個帳號的用途，是存取vCenter伺服器；接著，攻擊者為每個ESXi伺服器設置AD網域物件並加入網域，然後又建立其他帳號並加入名為ESX Admins的AD群組。駭客這麼做，是為了利用CVE-2024-37085，從而讓該群組的成員提升在ESXi的權限，控制虛擬機器（VM）、竄改伺服器配置、存取系統事件記錄，或是監控效能。

這些駭客利用SMB及RDP這兩個遠端存取管道，進入受害組織的其他系統、資料夾及檔案，並透過NTLM進行身分驗證。他們也藉由竄改系統登錄檔，或是手動從重要系統移除EDR系統的方式，來降低受害組織的資安防護強度，其中1起事故駭客甚至竄改ESXi主機的root密碼。

值得留意的是，這些駭客除了利用上述漏洞，攻擊手法也出現變化，首先，是勒索軟體在啟動的過程中，會一口氣部署4個用於自帶驅動程式（BYOVD）攻擊的驅動程式，這些元件來自微星系統超頻工具Afterburner、Dell用戶端韌體更新工具、技嘉主機板公用程式，以及防毒軟體Zemana。這些駭客並非首度濫用合法驅動程式，但研究人員指出，過往這些駭客只會運用2至3支驅動程式。

此外，駭客在偵察過程濫用特定使用者帳號，並利用SRVSVC命名管道及特定功能，找出網路環境的共用資料夾。

在此同時，駭客會竄改Windows電腦的登錄機碼，停用防毒軟體Microsoft Defender，並將EXE檔列入白名單，然後刪除System32資料夾的特定檔案，例如：taskmgr.exe、perfmon.exe、shutdown.exe。