Lazarus網路犯罪集團利用傳統的APT技術來傳播VHD勒索軟體。
Lazarus黑客團伙一直很擅長使用APT高級可持續威脅攻擊來進行金融犯罪。我們的安全專家最近檢測到了一種從未被發現過的VHD惡意軟體,似乎是Lazarus團伙在進行相關實驗。
從功能性角度來說,VHD是一種十分標準的勒索軟體工具。它通過各種渠道偷偷潛入受害者的電腦,然後對文件進行加密並刪除所有系統卷標訊息文件夾(因此破壞Windows上的系統恢復)。除此之外,它還可以掛起那些保護重要文件不被修改的進程,比如微軟的Exchange或者SQL Server。
不過真正有意思的是VHD登陸目標電腦的方式,因為它的感染機制和高級持續威脅攻擊有很多共同點。我們的安全專家最近研究了一些VHD案例,並分析了其中攻擊者每次的行為。
在受害者的網路中橫向移動
在第一起安全事件中,一段惡意代碼吸引了我們安全專家的注意,它負責在目標網路上傳播VHD。我們發現該勒索軟體擁有受害者電腦的IP地址列表以及管理員用戶的密碼訊息,並利用這些訊息對SMB服務進行暴力破解攻擊。如果惡意軟體通過SMB協議成功連接了另一台電腦的網路文件夾,它會復制自己並將那台機器也加密。
該行為並不像來自於主流的勒索軟體,它說明攻擊者至少對受害者的基礎設施提前進行了訊息偵查,而這更符合APT活動的特徵。
感染鏈
當我們的全球緊急響應團隊在一次調查中再次遇到這個勒索軟體時,研究人員成功追蹤了整個感染鏈。在他們的報告中,網路不發分子的行動如下:
- 通過入侵存在安全隱患的VPN網關來獲取受害者係統的訪問權限;
- 獲得被入侵電腦上的管理員權限;
- 安裝後門程式;
- 奪得活動目錄伺服器的控制權;
- 通過專門編寫的裝載程式讓該網路中的所有電腦感染上VHD勒索軟體。
我們通過對攻擊工具進一步分析得知該後門程式是跨平台框架MATA的一部分,我們之前對其總結過,這是Lazarus的另一個工具。
在我們的Securelist博客中,你可以找到有關這些工具的具體技術分析,以及電腦被其入侵時的跡象。
如何保護你的公司
VHD勒索軟體攻擊者在用加密器感染企業電腦方面明顯處於行業領先地位,該惡意軟體並沒有廣泛出現在黑客論壇中,而是為了針對性攻擊而專門開發的。其滲透受害者基礎架構和在網路上傳播時使用的技術讓人想到了先進的APT攻擊。網路金融犯罪工具和APT攻擊的界線逐漸模糊,這說明即便是小型公司也需要使用高級的安全防護技術。我們最近推出了同時具備端點保護平台(EPP)和端點檢測響應(EDR)功能的集成解決方案。
資料來源: https://www.kaspersky.com/blog/lazarus-vhd-ransomware/36559/