HackerNews 编译,转载请注明出处:
近期观察到的 “三角龙”(Trigona)勒索软件攻击,正使用一款定制的命令行工具,更快速高效地从被入侵环境中窃取数据。
3 月的一些攻击活动中采用了该工具,实施者可能是某个团伙成员,此举很可能是为了避免使用如 Rclone 和 MegaSync 等公开可用的工具,因为这些工具通常会触发安全防护措施。
赛门铁克(Symantec)这家网络安全公司的研究人员认为,转向使用定制工具或许表明攻击者 “正在投入时间和精力开发专有恶意软件,以求在攻击的关键阶段保持较低的曝光度”。
研究人员在今日发布的一份报告中称,该工具名为 “uploader_client.exe”,会连接到一个硬编码的服务器地址。它具备以下性能和规避能力:
- 每个文件支持同时建立 5 个连接,通过并行上传实现更快速的数据渗出。
- 每传输 2GB 流量后轮换 TCP 连接,以躲避监控。
- 可选择特定文件类型进行渗出,排除体积大但价值低的媒体文件。
- 使用身份验证密钥,防止外部人员访问被盗数据。
在一次事件中,该渗出工具被用于窃取网络驱动器上诸如发票和 PDF 文件等高价值文档。
“三角龙” 勒索软件于 2022 年 10 月开始运营,采用双重勒索策略,要求受害者以门罗币(Monero)支付赎金。
尽管 2023 年 10 月,乌克兰网络活动人士对 “三角龙” 的运营进行了干扰,入侵其服务器并窃取了源代码和数据库记录等内部数据,但赛门铁克的报告显示,威胁行为者已恢复行动。
攻击者会部署更多工具,用以禁用与安全相关的产品(如 PCHunter、Gmer、YDark、WKTools、DumpGuard 和 StpProcessMonitorByovd)。
赛门铁克表示:“其中许多工具利用了存在漏洞的内核驱动来终止端点保护进程。”
部分工具借助 PowerRun 运行,这是一款能够以提升的权限启动应用程序、可执行文件和脚本的产品,从而绕过用户模式保护。
攻击者通过 AnyDesk 对被入侵系统进行直接远程访问,并使用 Mimikatz 和 Nirsoft 工具来窃取凭证和恢复密码。
赛门铁克在报告末尾列出了与最新 “三角龙” 活动相关的入侵指标(IoCs),以帮助及时检测并阻止这些攻击。
