技術支援
文件
登錄
聯繫我們
BlackByte 2.0勒索軟體攻擊呈上升趨勢
奧班拉·奧佩耶米
實施期間: 2023年7月17 日 - TuxCare專家團隊
Microsoft事件回應團隊的一份新報告發現,BlackByte 2.0勒索軟體攻擊激增。這些攻擊的特點是速度快、破壞性強,威脅行為者能夠在短短五天內完成整個攻擊過程。
該報告發現,BlackByte攻擊者使用多種方法來實現其目標,包括利用未修補的Microsoft Exchange Server,部署Web shell進行遠端訪問,使用工具進行持久性和偵察,以及部署Cobalt Strike信標進行命令和控制。
除了加密數據外,BlackByte攻擊者還部署後門,使他們能夠繼續訪問受感染的系統。這使他們能夠竊取敏感數據、安裝其他惡意軟體,甚至使用 BlackByte2.0 勒索軟體發起其他攻擊。
威脅參與者通過利用未修補的 Microsoft Exchange 伺服器中的漏洞(尤其是 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207)獲得了訪問許可權。它從IP位址185.225.73.244開始運行,並通過生成註冊表運行密鑰來開發持久性,這些註冊表項在獲得系統級訪問許可權后在用戶登錄時運行有效負載、枚舉使用者資訊、構建 Web shell,並建立對目標系統的遠端控制。
然後,威脅參與者使用名為 api-msvc.dll 的後門檔來收集系統數據並將其發送到位於 hxxps://myvisit.alteksecurity.org/t 的命令和控制 (C2) 伺服器。另一個檔,api-system.png,行為類似,並使用運行鍵進行持久性。持久性是通過使用Cobalt Strike Beacon(sys.exe)實現的,該信標是從temp[.]下載的。sh並在109.206.243.59:443與C2通道交互。
此外,威脅行為者使用了遠端訪問程式AnyDesk,該程式是作為服務安裝的,以保持持久性並協助網路遷移。AnyDesk日誌顯示TOR和MULLVAD VPN連接。
威脅參與者使用網路發現工具 NetScan (netscan.exe 和 netapp.exe) 和 Active Directory 偵測工具 AdFind (f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e) 來枚舉網路。數據暫存和洩露是通過使用資源管理器完成的.exe (Trojan:Win64/WinGoObfusc.LK!MT),這是一個禁用Microsoft Defender Antivirus的檔。
此ExByte檔是BlackByte勒索軟體攻擊中用於收集和洩露檔的常用工具。Mimikatz 被懷疑被利用來竊取憑據,被盜的域管理員憑據用於通過遠端桌面協定 (RDP) 和 PowerShell 遠端處理進行橫向移動。
此外,BlackByte 2.0勒索軟體能夠逃避防病毒程式並操縱Windows防火牆,註冊表和當前進程。它還可以加密網路共享上的數據和其他方式來掩蓋其足跡並使分析變得困難。
這篇文章的來源包括 TheHackerNews上的一篇文章。
