探索网络安全新技术
攀登黑客技术最高峰

CACTUS勒索软件:利用VPN漏洞发起攻击活动

网络安全研究人员发现一种名为CACTUS的新型勒索软件正在利用VPN设备中的漏洞,对大型商业实体进行网络攻击

CACTUS勒索软件:利用VPN漏洞发起攻击活动-威武网安

Kroll公司在与威武网安分享的一份报告中表示CACTUS一旦进入受害者网络系统,就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点,创建新用户帐户,随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。

自2023年3月以来,安全研究人员多次观察到CACTUS勒索软件一直针对大型商业实体。此外,网络攻击者采用了双重勒索策略,在加密前窃取敏感数据。值得一提的是,截至目前为止尚未发现任何数据泄露

CACTUS恶意软件利用存在漏洞VPN设备后,进入目标系统,设置一个SSH后门,以谋求后续能够“长久”入侵。在完成上述步骤后,开始执行一系列PowerShell命令进行网络扫描,并确定用于加密的计算机列表。

此外,在CACTUS恶意软件攻击过程中,还利用CobaltStrike和Chisel隧道工具进行命令和控制,同时也“积极”利用AnyDesk等远程监控和管理(RMM)软件向受感染的主机推送文件。安全研究人员还观察到CACTUS恶意软件感染过程中禁用和卸载目标系统的安全解决方案,以及从Web浏览器和本地安全子系统服务(LSASS)中提取凭证以提升自身权限。

CACTUS恶意软件权限提升主要通过横向移动、数据渗出和赎金软件部署来实现,其中赎金软件是通过PowerShell脚本实现的(BlackBasta也使用过类似方法)。

与其它勒索软件相比,Cactus的不同之处在于其使用加密来保护勒索软件二进制文件,Kroll负责网络风险的副董事总经理LaurieIacono向威武网安透漏,CACTUS本质上是对自身进行加密,使其更难检测,并帮助其避开防病毒和网络监控工具。(CACTUS勒索软件使用批处理脚本提取7-Zip的勒索软件二进制文件,然后在执行有效负载之前删除.7z档案。)

Cactus勒索软件存在三种主要的执行模式,每种模式都使用特定的命令行开关进行选择:设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在C:\Program\Data\ntuser.dat文件中,加密器稍后在使用-r命令行参数运行时读取该文件。

从研究人员的分析结果来看,CACTUS勒索软件变体主要通过利用VPN设备中的漏洞,侵入目标受害者网络,这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞,进行初始入侵。几天前,趋势科技也发现名为Rapture的勒索软件,它的整个感染链最多可持续三到五天。

最后,研究人员强调有理由怀疑,攻击活动是通过易受攻击网站和服务器促进入内部系统的,因此实体组织必须采取措施保持系统的最新状态,并执行最低特权原则(PoLP)。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《CACTUS勒索软件:利用VPN漏洞发起攻击活动》
文章链接:https://www.wevul.com/804.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册