微软发现：神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织

微软报告称，新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中，所有受害者在一小时内相互攻击。

该活动的一个显著特点是，很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出，该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。

微软威胁情报中心 (MSTIC) 发布的报告中写道：“该活动与最近与俄罗斯国家相关的活动，特别是在受影响的地区和国家，并与FoxBlade恶意软件（也称为HermeticWiper）的先前受害者重叠”。

HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器，其恶意代码被用于袭击乌克兰数百台机器的攻击。

微软注意到，该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击，这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。

MSTIC 尚未将这些攻击归因于已知的威胁组，同时，它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前，使用以下两个远程执行使用程序观察了威胁参与者：

• RemoteExec – 一种用于无代理远程代码执行的商用工具
• Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案
• DEV-0960 在一些攻击中使用以下工具来访问高权限凭证：
• winPEAS – 在 Windows 上执行权限提升的开源脚本集合
• comsvcs.dll – 用于转储 LSASS 进程的内存并窃取凭据
• ntdsutil.exe – 用于备份 Active Directory 数据库，可能供以后使用凭据

“在所有观察到的部署中，攻击者已经获得了对域管理员等高权限凭证的访问权限，以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量，但在某些情况下，攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。”

MSTIC 研究人员观察到威胁参与者使用三种方法部署 Prestige 勒索软件：

方法一：将勒索软件payload复制到远程系统的ADMIN$共享中，使用Impacket在目标系统上远程创建Windows Scheduled Task来执行payload

方法二：将勒索软件payload复制到远程系统的ADMIN$共享，使用Impacket在目标系统上远程调用编码的PowerShell命令来执行payload

方法三：将勒索软件负载复制到 Active Directory 域控制器并使用默认域组策略对象部署到系统

部署后，Prestige 勒索软件会在其加密的每个驱动器的根目录中放置一个名为“README.txt”的勒索记录。

Prestige 使用 CryptoPP C++ 库对每个符合条件的文件进行 AES 加密，以防止数据恢复，勒索软件会从系统中删除备份目录。

Microsoft 发布了一份入侵指标 (IOC) 列表，高级搜索查询可检测 Prestige 勒索软件感染。微软将继续监控 DEV-0960 活动并为我们的客户实施保护措施。