自2024年年中首次出現(xiàn)以來，名為"Hellcat"（地獄貓）的復雜勒索軟件已成為網(wǎng)絡(luò)安全領(lǐng)域的重大威脅。該惡意軟件迅速進化其攻擊能力，專門針對政府部門、教育機構(gòu)和能源基礎(chǔ)設(shè)施等關(guān)鍵領(lǐng)域。

該組織不僅對數(shù)據(jù)進行加密，還運用心理戰(zhàn)術(shù)武器化手段，利用此前未知的漏洞來最大化對受害者業(yè)務(wù)的影響，從而提高贖金支付金額。

該勒索軟件采用RaaS（Ransomware-as-a-Service，勒索軟件即服務(wù)）模式運營，允許附屬機構(gòu)部署惡意軟件，同時與開發(fā)者分享利潤。

這種商業(yè)模式加速了地獄貓在全球各行業(yè)的擴散，其攻擊手段也日趨復雜。

該組織采用雙重勒索策略，在加密前先竊取敏感數(shù)據(jù)，并威脅如果贖金要求得不到滿足將公開這些數(shù)據(jù)。

博通（Broadcom）研究人員發(fā)現(xiàn)地獄貓具備高級漏洞利用能力，能夠成功利用零日漏洞（包括最近發(fā)現(xiàn)的Atlassian Jira漏洞）在目標環(huán)境中建立初始立足點。

分析顯示，地獄貓通過多階段攻擊方式展現(xiàn)出繞過傳統(tǒng)安全控制的卓越能力，采用反射式代碼加載技術(shù)直接在內(nèi)存中執(zhí)行惡意代碼，有效規(guī)避基于文件的安全解決方案檢測。

地獄貓已對多個行業(yè)的實體造成嚴重影響，成為全球組織的重大威脅。

安全專家觀察到針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊日益精準的令人擔憂趨勢，表明該組織的戰(zhàn)術(shù)正變得更加精細，目標選擇更具戰(zhàn)略性。

感染鏈與持久化機制

地獄貓的攻擊鏈始于通過魚叉式釣魚郵件（包含惡意附件）或利用面向公眾的應(yīng)用程序（通常借助零日漏洞）獲取初始訪問權(quán)限。

感染鏈（來源：博通）

成功入侵后，攻擊者會部署復雜的多階段PowerShell感染鏈，通過修改Windows注冊表運行鍵值建立持久性，確保惡意腳本在用戶登錄時自動執(zhí)行。

該PowerShell腳本隨后連接到攻擊者控制的基礎(chǔ)設(shè)施下載后續(xù)有效載荷，同時采用AMSI（反惡意軟件掃描接口）繞過技術(shù)禁用或修改安全工具。

最后階段通過shellcode有效載荷部署SliverC2（一種命令控制框架），獲取對受感染環(huán)境的持久遠程訪問權(quán)限。

為進行橫向移動，地獄貓利用Netcat和Netscan等"就地取材"二進制文件，使其與合法網(wǎng)絡(luò)活動融為一體，大大增加了檢測難度。