俄罗斯语言的黑客组织 RedCurl(又名 Earth Kapre 和 Red Wolf)首次与勒索软件活动相关联,这标志着该威胁组织的攻击手法发生了转变。
这一活动由罗马尼亚网络安全公司 Bitdefender 观察到,涉及部署一种前所未见的勒索软件变种,名为 QWCrypt。
RedCurl 有着针对加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国等多地多个实体进行企业间谍攻击的历史。该组织自至少 2018 年 11 月以来一直活跃。
2020 年,Group-IB 记录的攻击链涉及使用带有 “人力资源”(HR)主题诱饵的鱼叉式网络钓鱼电子邮件来激活恶意软件部署过程。今年 1 月,Huntress 详细描述了该威胁组织针对加拿大多个组织的攻击,以部署名为 RedLoader 的加载程序,该程序具有 “简单的后门功能”。
上个月,加拿大网络安全公司 eSentire 揭露了 RedCurl 使用伪装成简历和求职信的垃圾 PDF 附件,在网络钓鱼信息中利用合法的 Adobe 可执行文件 “ADNotificationManager.exe” 侧载加载程序恶意软件。
Bitdefender 详细描述的攻击过程遵循相同的步骤,使用伪装成简历的可挂载磁盘镜像(ISO)文件来启动多阶段感染程序。在磁盘镜像中存在一个文件,它模仿 Windows 屏保(SCR),但实际上是由 ADNotificationManager.exe 执行的加载程序(“netutils.dll”)使用的二进制文件,通过 DLL 侧载执行。
“执行后,netutils.dll 立即用 open 动词发起 ShellExecuteA 调用,将受害者的浏览器定向到 https://secure.indeed.com/auth,”Bitdefender 技术解决方案总监 Martin Zugec 在一份与《黑客新闻》分享的报告中表示。
“这显示了一个合法的 Indeed 登录页面,这是一个精心设计的干扰,旨在误导受害者认为他们只是在打开简历。这种社会工程手段为恶意软件提供了在未被察觉的情况下运行的窗口。”
加载程序还充当下载程序,用于下载下一阶段的后门 DLL,同时通过计划任务在主机上建立持久性。然后使用程序兼容性助手(pcalua.exe)执行新检索到的 DLL,这种技术在 2024 年 3 月由 Trend Micro 详细描述。
植入物提供的访问权限为横向移动铺平了道路,使威胁者能够在网络中导航、收集情报并进一步升级访问权限。但似乎是一个重大的转变,他们已知的作案手法之一也导致了勒索软件的首次部署。
“这种有针对性的攻击可以被解释为一种试图用最小的努力造成最大损害的尝试,”Zugec 说。“通过加密托管在 hypervisors 上的虚拟机,使其无法启动,RedCurl 有效地禁用了整个虚拟化基础设施,影响所有托管服务。”
勒索软件可执行文件除了采用 “自带易受攻击的驱动程序”(BYOVD)技术来禁用端点安全软件外,还会在启动加密例程之前采取步骤收集系统信息。此外,加密后留下的勒索便条似乎受到 LockBit、HardBit 和 Mimic 团伙的启发。
“这种重复使用现有勒索便条文本的做法引发了关于 RedCurl 团伙的起源和动机的问题,”Zugec 说。“值得注意的是,没有已知的专门泄露网站(DLS)与该勒索软件相关联,目前尚不清楚勒索便条是否代表真正的敲诈企图或是一种转移注意力的手段。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容