為了掩蓋真正的攻擊目的,發動勒索軟體攻擊並有模有樣地索討贖金,很有可能因此讓受害組織忽略駭客另有意圖。最近有一起勒索軟體攻擊行動,就是典型的例子。
資安業者Orange Cyberdefense揭露於去年6月至10月發生的攻擊事故Green Nailao,駭客主要針對歐洲的醫療體系而來,作案過程中運用了中國駭客常見的惡意程式ShadowPad、PlugX,而引起研究人員的注意,值得留意的是,他們入侵受害組織的主要管道,就是這波攻擊出現之前不久,Check Point去年5月修補的VPN設備資訊洩露漏洞CVE-2024-24919(CVSS風險評分為8.6)。
針對駭客利用上述已知漏洞的情況,我們也向資安業者Check Point進一步詢問,該公司表示他們已修復這項弱點,建議用戶可透過5月27日發布的部落格文章了解相關資訊。
針對攻擊事故的發生過程,Orange Cyberdefense資安研究員Marine Pichon、Alexis Bonnefoi表示,在他們看到的4次攻擊當中,駭客都是利用CVE-2024-24919入侵受害組織的VPN設備。特別的是,由於這項弱點還能讓攻擊者挖掘本機使用者帳號密碼的雜湊值,因此研究人員認為,這些駭客也藉此漏洞得到使用者的帳密,並用來進行VPN連線。
在成功建立初始入侵管道之後,駭客利用遠端桌面連線(RDP)進行偵察及橫向移動,並取得額外的權限。過程中他們手動執行公用程式logger.exe側載惡意DLL檔案,然後複製經加密處理的有效酬載到系統的登錄檔。
接著駭客將有效酬載刪除,並由DLL檔案從機碼搜尋並注入另一個處理程序,而這個有效酬載就是惡意昭彰的後門程式ShadowPad。
Orange Cyberdefense也在8月發生的攻擊行動裡,看到駭客用相當類似的手法散布另一支惡意程式PlugX,這次是濫用McAfee防毒軟體執行檔載入DLL檔案,並透過特定的API提升權限。
值得一提的是,ShadowPad建立C2通訊機制,是在受害組織的資訊系統設置獨立於VPN的存取管道,而且駭客還會在受害組織多臺電腦植入此後門程式。
最終駭客會將竊得資料打包成ZIP檔案並嘗試傳送到外部。在其中一起事故裡,駭客竊得了AD的帳密資料庫檔案ntds.dit,但在部分事故當中,研究人員只能取得有限的防火牆事件記錄,難以確認有那些資料被外流。
而對於駭客使用的勒索軟體NailaoLocker,一旦執行就會先檢查受害電腦是否載入系統元件sensapi.dll,並試圖從記憶體及磁碟清理,然後使用AES-256-CTR演算法對檔案進行非對程加密,最終留下勒索訊息,要求受害者透過電子郵件向他們購買解密金鑰。
罕見的是,這款勒索軟體不會掃描網路共享資料夾,也不會終止可能影響加密流程的處理程序或是服務,甚至對於會被他人除錯的情況也沒有進行控管。這樣的情況,研究人員提及受害電腦的檔案很有可能不會被完全加密。
而對於攻擊者的身分,Orange Cyberdefense指出駭客的戰術、手段、流程(TTP)與Sophos兩年前揭露的Crimson Palace攻擊行動有少部分交集,且手法很難不讓人想到賽門鐵克最近公布的RA World攻擊事故,但Orange Cyberdefense指出兩起事故沒有直接關聯。
研究人員認為,駭客真正的目的可能是竊取資料,利用勒索軟體加密檔案並索討贖金是為了分散注意力,而且,勒索軟體還能掩護用來執行網路間諜活動的後門程式。
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2025-02-18
2025-02-18
2025-02-14