新興的跨平臺(tái)BianLian勒索軟件攻擊正在提速
新興跨平臺(tái)BianLian勒索軟件的運(yùn)營商本月增加了他們的命令和控制(C2)基礎(chǔ)設(shè)施,這一發(fā)展暗示著該組織的運(yùn)營節(jié)奏正在提速。
使用Go編程語言編寫的BianLian勒索軟件于2022年7月中旬首次被發(fā)現(xiàn),截至9月1日已聲稱有15個(gè)受害組織。
值得注意的是,這一新興的雙重勒索勒索軟件家族與同名的Android銀行木馬沒有聯(lián)系,后者主要針對(duì)移動(dòng)銀行和加密貨幣應(yīng)用程序竊取敏感信息。
安全研究人員Ben Armstrong、Lauren Pearce、Brad Pittack和Danny Quist介紹稱,
“該勒索軟件對(duì)受害者網(wǎng)絡(luò)的初始訪問是通過成功利用ProxyShell Microsoft Exchange Server漏洞實(shí)現(xiàn)的,利用它來刪除web shell或ngrok有效負(fù)載以進(jìn)行后續(xù)活動(dòng)。BianLian還將SonicWall VPN設(shè)備作為攻擊目標(biāo),這是勒索軟件組織的另一個(gè)常見目標(biāo)?!?/p>
與另一個(gè)名為“Agenda”的新Golang惡意軟件不同,BianLian攻擊者從初始訪問到實(shí)施加密的停留時(shí)間最長可達(dá)6周,這一持續(xù)時(shí)間遠(yuǎn)高于2021年報(bào)告的15天入侵者停留時(shí)間的中值。
除了利用離地攻擊(living-off-the-land,LotL)技術(shù)進(jìn)行網(wǎng)絡(luò)分析和橫向移動(dòng)外,該組織還部署定制植入物作為維持對(duì)網(wǎng)絡(luò)的持久訪問的替代手段。
據(jù)研究人員介紹,后門的主要目標(biāo)是從遠(yuǎn)程服務(wù)器檢索任意有效負(fù)載,將其加載到內(nèi)存中,然后執(zhí)行它們。
BianLian與Agenda類似,能夠在Windows安全模式下啟動(dòng)服務(wù)器以執(zhí)行其對(duì)文件加密惡意軟件,同時(shí)不被系統(tǒng)上安裝的安全解決方案檢測(cè)到。
為消除安全障礙而采取的其他步驟包括刪除卷影副本、清除備份以及通過Windows遠(yuǎn)程管理(WinRM)和PowerShell腳本運(yùn)行其Golang加密器模塊。
據(jù)報(bào)道,已知最早的與BianLian相關(guān)的C2服務(wù)器于2021年12月出現(xiàn)在網(wǎng)絡(luò)上。但此后,該C2基礎(chǔ)設(shè)施經(jīng)歷了“令人不安的擴(kuò)張”,現(xiàn)已超過30個(gè)活躍IP地址。
網(wǎng)絡(luò)安全公司Cyble在本月早些時(shí)候詳細(xì)介紹了該勒索軟件的作案手法,據(jù)Cyble稱,該勒索軟件的目標(biāo)組織跨越多個(gè)行業(yè),如媒體、銀行、能源、制造、教育、醫(yī)療保健和專業(yè)服務(wù)等。而且大多數(shù)組織位于北美、英國和澳大利亞。
BianLian是網(wǎng)絡(luò)犯罪分子繼續(xù)使用跳躍戰(zhàn)術(shù)(hopping tactics)以避免被發(fā)現(xiàn)的又一跡象。它還增加了使用Go作為基礎(chǔ)語言的越來越多的威脅,使攻擊者能夠在單個(gè)代碼庫中進(jìn)行快速更改,然后可以針對(duì)多個(gè)平臺(tái)進(jìn)行編譯。
研究人員補(bǔ)充道,BianLian已經(jīng)證明自身擅長使用離地攻擊(LOtL)方法來橫向移動(dòng),并根據(jù)他們?cè)诰W(wǎng)絡(luò)中遇到的防御能力來調(diào)整操作。
原文鏈接:https://thehackernews.com/2022/09/researchers-detail-emerging-cross.html