WastedLocker:Symantec 确定了针对美国组织的攻击浪潮

攻击者正准备攻击数十家美国公司,其中包括8家财富500强公司。

Symantec是Broadcom的一个部门,已识别出并警告我们的客户,其攻击者试图在其网络上部署WastedLocker勒索软件(Ransom.WastedLocker)对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金。至少有31个客户组织受到了攻击,这意味着攻击的总数可能更高。攻击者已经破坏了目标组织的网络,并且正在为进行勒索软件攻击奠定基础。

WastedLocker是一种相对较新的定向勒索软件,在NCC Group发布之前就已记录在案,而Symantec正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“ Evil Corp”网络犯罪组织。Evil Corp以前曾与Dridex银行木马和BitPaymer勒索软件相关联,据信这些勒索软件已经为其创建者赚取了数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。

攻击开始于一种名为SocGholish的基于javascript的恶意框架,该框架追踪到150多个受损网站,伪装成软件升级。一旦攻击者进入了受害者的网络,他们就会使用Cobalt Strike商品恶意软件和一些远程工具来窃取凭据,升级特权并在网络上移动,以便在多台计算机上部署WastedLocker勒索软件。

发现

Symantec的“目标攻击云分析”在许多客户网络上主动检测到了这些攻击,该攻击利用先进的机器学习来发现与目标攻击相关的活动模式。Symantec的Threat Hunter团队(Symantec Endpoint Security完整产品的一部分)对该活动进行了审核,他们对该活动进行了验证,并很快意识到该活动与在WastedLocker攻击早期阶段看到的公开记录的活动密切相关。

这一发现使我们能够确定WastedLocker所针对的其他组织,并确定攻击者使用的其他工具,策略和过程,从而帮助我们加强针对攻击的每个阶段的保护。

大公司的目标

迄今为止,Symantec已发现针对31个组织的攻击,所有攻击都位于美国。绝大多数攻击目标是大公司,包括许多家喻户晓的公司。除了一些大型私营公司,还有11家上市公司,其中8家是《财富》500强公司。除了美国以外,所有被攻击的组织都是美国所有一家海外跨国公司设在美国的子公司。

各个部门的组织遭到攻击。制造业是受影响最严重的部门,占五个目标组织。其次是信息技术(四个)和媒体与电信(三个)。如果攻击者没有受到干扰,成功的攻击可能会导致数百万美元的损失,停机并可能对供应链产生多米诺骨牌效应。

WastedLocker攻击如何展开

组织的最初危害是涉及SocGholish框架,该框架通过受损的合法网站以压缩文件的形式提供给受害者。Symantec已发现至少150个不同的合法网站,这些网站将流量引向托管SocGholish zip文件的网站。这些网站可能导致不同的恶意软件,因为这样的重定向服务可以同时被多个参与者使用。

该压缩文件包含恶意JavaScript,并会伪装成浏览器更新。然后,第二个JavaScript文件由wscript.exe执行。该JavaScript首先使用whoami,net user和net group等命令对计算机进行配置,然后使用PowerShell下载与发现相关的其他PowerShell脚本。

攻击的下一个阶段是部署“钴击”。PowerShell用于从公开报告的域中下载并执行加载程序,该域被报告为是作为WastedLocker攻击的一部分而提供了Cobalt Strike的。装载程序还与此报告的Cobalt Strike基础结构共享了一个命令和控制(C&C)域。该加载器包含一个.NET注入器,据报道,该注入器也出现在WastedLocker攻击中。据报道,该注射器以及钴击信标的装载机均来自名为Donut的开源项目,该项目旨在帮助注入和执行内存中的有效载荷。

注入的有效负载称为“钴打击信标”,可用于执行命令,注入其他进程,提升当前进程或模拟其他进程以及上传和下载文件。攻击者将PowerView中 的Get-NetComputer命令 重命名为随机名称。然后看到该命令在Active Directory数据库中搜索所有服务器对象,并带有* server 2003 7 *过滤条件(返回所有Windows Server,Windows Server 2003或Windows 7实例)。然后,攻击者将此信息记录在.tmp文件中。

使用包含软件许可用户界面工具(slui.exe)的公开记录的技术来执行特权升级,该工具是Windows命令行实用程序,负责激活和更新Windows操作系统。

攻击者使用Windows Management Instrumentation命令行实用程序(wmic.exe)在远程计算机上执行命令,例如添加新用户或执行其他已下载的PowerShell脚本。Cobalt Strike还用于使用ProcDump执行凭证转储并清空日志文件。

为了部署勒索软件,攻击者使用Windows Sysinternals工具PsExec启动合法的命令行工具来管理Windows Defender(mpcmdrun.exe),以禁用对所有下载的文件和附件的扫描,删除所有已安装的定义,以及在某些情况下在这种情况下,请禁用实时监视。

攻击者有可能使用多种技术来执行此任务,因为NCC报告怀疑为此目的使用了一种称为SecTool checker的工具。

然后,使用PsExec启动PowerShell,该PowerShell使用win32_service WMI类检索服务,并使用net stop命令停止这些服务。禁用Windows Defender并在组织内停止服务后,将使用PsExec来启动WastedLocker勒索软件本身,然后勒索软件开始加密数据并删除卷影。

对企业的直接威胁

构成这种威胁的攻击者似乎技能娴熟,经验丰富,能够穿透一些受保护程度最高的公司,窃取凭据并轻松地跨网络移动。因此,WastedLocker是一件非常危险的勒索软件。成功的攻击可能会使受害者的网络瘫痪,从而严重破坏其操作并进行昂贵的清理操作。

保护/缓解

为了保护客户免受WastedLocker攻击和相关活动的侵害,以下保护措施已经到位:
基于文件的保护

  • Ransom.WastedLocker
  • Ransom.WastedLocker!g1
  • Ransom.WastedLocker!gm
  • Trojan.Gen.2
  • Trojan Horse
  • Trojan.Gen.MBT
  • Downloader
  • JS.Downloader
  • Packed.Generic.459
  • ISB.Downloader!gen403
  • ISB.Downloader!gen404
  • Heur.AdvML.B
  • Heur.AdvML.C
  • SONAR.SuspLaunch!g18

入侵防御

  • 感染系统: Trojan.Backdoor Activity 478
  • 恶意站点: Malicious Domains Request
  • 感染系统: Trojan.Backdoor Domains 2
  • Web 攻击: Fake Browser Update 8
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!