新興跨平臺(tái)BianLian勒索軟件的運(yùn)營商本月增加了他們的命令和控制（C2）基礎(chǔ)設(shè)施，這一發(fā)展暗示著該組織的運(yùn)營節(jié)奏正在提速。

使用Go編程語言編寫的BianLian勒索軟件于2022年7月中旬首次被發(fā)現(xiàn)，截至9月1日已聲稱有15個(gè)受害組織。

值得注意的是，這一新興的雙重勒索勒索軟件家族與同名的Android銀行木馬沒有聯(lián)系，后者主要針對(duì)移動(dòng)銀行和加密貨幣應(yīng)用程序竊取敏感信息。

安全研究人員Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介紹稱，

“該勒索軟件對(duì)受害者網(wǎng)絡(luò)的初始訪問是通過成功利用ProxyShell Microsoft Exchange Server漏洞實(shí)現(xiàn)的，利用它來刪除web shell或ngrok有效負(fù)載以進(jìn)行后續(xù)活動(dòng)。BianLian還將SonicWall VPN設(shè)備作為攻擊目標(biāo)，這是勒索軟件組織的另一個(gè)常見目標(biāo)?！?/p>

與另一個(gè)名為“Agenda”的新Golang惡意軟件不同，BianLian攻擊者從初始訪問到實(shí)施加密的停留時(shí)間最長可達(dá)6周，這一持續(xù)時(shí)間遠(yuǎn)高于2021年報(bào)告的15天入侵者停留時(shí)間的中值。

除了利用離地攻擊（living-off-the-land，LotL）技術(shù)進(jìn)行網(wǎng)絡(luò)分析和橫向移動(dòng)外，該組織還部署定制植入物作為維持對(duì)網(wǎng)絡(luò)的持久訪問的替代手段。

據(jù)研究人員介紹，后門的主要目標(biāo)是從遠(yuǎn)程服務(wù)器檢索任意有效負(fù)載，將其加載到內(nèi)存中，然后執(zhí)行它們。

BianLian與Agenda類似，能夠在Windows安全模式下啟動(dòng)服務(wù)器以執(zhí)行其對(duì)文件加密惡意軟件，同時(shí)不被系統(tǒng)上安裝的安全解決方案檢測(cè)到。

為消除安全障礙而采取的其他步驟包括刪除卷影副本、清除備份以及通過Windows遠(yuǎn)程管理（WinRM）和PowerShell腳本運(yùn)行其Golang加密器模塊。

據(jù)報(bào)道，已知最早的與BianLian相關(guān)的C2服務(wù)器于2021年12月出現(xiàn)在網(wǎng)絡(luò)上。但此后，該C2基礎(chǔ)設(shè)施經(jīng)歷了“令人不安的擴(kuò)張”，現(xiàn)已超過30個(gè)活躍IP地址。

網(wǎng)絡(luò)安全公司Cyble在本月早些時(shí)候詳細(xì)介紹了該勒索軟件的作案手法，據(jù)Cyble稱，該勒索軟件的目標(biāo)組織跨越多個(gè)行業(yè)，如媒體、銀行、能源、制造、教育、醫(yī)療保健和專業(yè)服務(wù)等。而且大多數(shù)組織位于北美、英國和澳大利亞。

BianLian是網(wǎng)絡(luò)犯罪分子繼續(xù)使用跳躍戰(zhàn)術(shù)（hopping tactics）以避免被發(fā)現(xiàn)的又一跡象。它還增加了使用Go作為基礎(chǔ)語言的越來越多的威脅，使攻擊者能夠在單個(gè)代碼庫中進(jìn)行快速更改，然后可以針對(duì)多個(gè)平臺(tái)進(jìn)行編譯。

研究人員補(bǔ)充道，BianLian已經(jīng)證明自身擅長使用離地攻擊（LOtL）方法來橫向移動(dòng)，并根據(jù)他們?cè)诰W(wǎng)絡(luò)中遇到的防御能力來調(diào)整操作。

原文鏈接：https://thehackernews.com/2022/09/researchers-detail-emerging-cross.html