最近網路出現專門利用 VPN 設備已知漏洞的新型勒索軟體 Cactus,至少 3 月開始便橫行網路,除了對「大型商業公司」網路初次存取,並向受害者勒索大筆贖金。此惡意軟體除了和一般勒索軟體一樣會將竊取資料加密以勒索贖金,也會自我加密以規避安全偵測。
企業調查暨風險顧問公司 Kroll 旗下研究人員認為,Cactus 最先藉 Fortinet VPN 設備的已知漏洞,成功取得進入受害者網路的初次存取權。調查發現,駭客都是從具 VPN 服務帳號的 VPN 伺服器轉進企業內網。
Cactus 與以往勒索軟體的最大不同處,在於會透過加密保護勒索軟體二進位檔。駭客會批次執行腳本,以便透過 7-Zip 取得加密器二進位檔。原始 Zip 壓縮檔會刪除,並透過允許執行的特定旗標部署二進位檔。整個過程相當不尋常,研究人員認為,這一切是為了防止勒索軟體加密器被安全機制偵測。
Kroll 網路風險副總經理 Laurie Iacono 強調,基本上 Cactus 會自我加密,以便讓自己更難偵測到,成功規避防毒及網路監控工具。勒索軟體專家 Michael Gillespie 也分析 Cactus 加密資料方式並發現,惡意軟體會根據處理狀態對目標檔案使用多個副檔名,例如準備加密文件時,Cactus 會將副檔名更改為 .CTSo,加密後再改成 .CTS1。
善用各種合法工具,能卸載最常見防毒軟體
再就 Cactus 的攻擊策略、技術和程序而言,一旦進入網路,威脅發動者會透過排程任務,並使用從主控伺服器(C2 Server)獲得的 SSH 後門程式持續性存取。
Kroll 調查人員並指出,Cactus 依靠 SoftPerfect NetScan 網路掃描器在網路尋找感興趣的目標。攻擊者並使用 PowerShell 命令列舉端點,以便更深度偵察。然後透過 Windows 事件檢視器(Event Viewer)查看登錄成功相關紀錄以辨識使用者帳號,並使用 ping 偵測遠端主機狀況及 IP 位址。
研究人員還發現,Cactus 使用修改版的開源工具 Psnmap,相當於 nmap 網路掃描器的 PowerShell。為了啟動攻擊所需的各種工具,調查人員表示,Cactus 會透過 Splashtop、AnyDeskt 及 SuperOps RMM 等合法工具,連同 Cobalt Strike 及基於 Go 的代理工具 Chisel 來嘗試多種遠端存取方法。提升某機台權限後,Cactus 駭客會運行批次化腳本,進而卸載最常用的防毒產品。
在竊取受害者資料方面,攻擊者採用 Rclone 工具將檔案直接傳送到雲端儲存。竊取資料後,駭客特別使用名為 TotalExec 的 PowerShell 腳本(常見於 BlackBasta 勒索軟體攻擊)自動部署加密過程。
雖然目前並沒有關於 Cactus 向受害者要求贖金的公開資訊,但有消息指出,贖金高達數百萬美元。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
