新興跨平臺BianLian勒索軟件的運營商本月增加了他們的命令和控制（C2）基礎(chǔ)設(shè)施，這一發(fā)展暗示著該組織的運營節(jié)奏正在提速。

使用Go編程語言編寫的BianLian勒索軟件于2022年7月中旬首次被發(fā)現(xiàn)，截至9月1日已聲稱有15個受害組織。

值得注意的是，這一新興的雙重勒索勒索軟件家族與同名的Android銀行木馬沒有聯(lián)系，后者主要針對移動銀行和加密貨幣應(yīng)用程序竊取敏感信息。

安全研究人員Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介紹稱，

“該勒索軟件對受害者網(wǎng)絡(luò)的初始訪問是通過成功利用ProxyShell Microsoft Exchange Server漏洞實現(xiàn)的，利用它來刪除web shell或ngrok有效負(fù)載以進(jìn)行后續(xù)活動。BianLian還將SonicWall VPN設(shè)備作為攻擊目標(biāo)，這是勒索軟件組織的另一個常見目標(biāo)?！?/p>

與另一個名為“Agenda”的新Golang惡意軟件不同，BianLian攻擊者從初始訪問到實施加密的停留時間最長可達(dá)6周，這一持續(xù)時間遠(yuǎn)高于2021年報告的15天入侵者停留時間的中值。

除了利用離地攻擊（living-off-the-land，LotL）技術(shù)進(jìn)行網(wǎng)絡(luò)分析和橫向移動外，該組織還部署定制植入物作為維持對網(wǎng)絡(luò)的持久訪問的替代手段。

據(jù)研究人員介紹，后門的主要目標(biāo)是從遠(yuǎn)程服務(wù)器檢索任意有效負(fù)載，將其加載到內(nèi)存中，然后執(zhí)行它們。

BianLian與Agenda類似，能夠在Windows安全模式下啟動服務(wù)器以執(zhí)行其對文件加密惡意軟件，同時不被系統(tǒng)上安裝的安全解決方案檢測到。

為消除安全障礙而采取的其他步驟包括刪除卷影副本、清除備份以及通過Windows遠(yuǎn)程管理（WinRM）和PowerShell腳本運行其Golang加密器模塊。

據(jù)報道，已知最早的與BianLian相關(guān)的C2服務(wù)器于2021年12月出現(xiàn)在網(wǎng)絡(luò)上。但此后，該C2基礎(chǔ)設(shè)施經(jīng)歷了“令人不安的擴(kuò)張”，現(xiàn)已超過30個活躍IP地址。

網(wǎng)絡(luò)安全公司Cyble在本月早些時候詳細(xì)介紹了該勒索軟件的作案手法，據(jù)Cyble稱，該勒索軟件的目標(biāo)組織跨越多個行業(yè)，如媒體、銀行、能源、制造、教育、醫(yī)療保健和專業(yè)服務(wù)等。而且大多數(shù)組織位于北美、英國和澳大利亞。

BianLian是網(wǎng)絡(luò)犯罪分子繼續(xù)使用跳躍戰(zhàn)術(shù)（hopping tactics）以避免被發(fā)現(xiàn)的又一跡象。它還增加了使用Go作為基礎(chǔ)語言的越來越多的威脅，使攻擊者能夠在單個代碼庫中進(jìn)行快速更改，然后可以針對多個平臺進(jìn)行編譯。

研究人員補(bǔ)充道，BianLian已經(jīng)證明自身擅長使用離地攻擊（LOtL）方法來橫向移動，并根據(jù)他們在網(wǎng)絡(luò)中遇到的防御能力來調(diào)整操作。

原文鏈接：https://thehackernews.com/2022/09/researchers-detail-emerging-cross.html