新型勒索软件 CACTUS 运用 VPN 漏洞开展攻击活动
|
在 Hackers 社区中透露了,网络安全研究人员发现,一种名为 CACTUS 的新型勒索软件正在利用 VPN 设备中的漏洞,对大型商业实体进行网络攻击。 Kroll 公司在与 The Hacker News 分享的一份报告中表示 CACTUS 一旦进入受害者网络系统,就开始尝试枚举本地帐户、网络用户帐户以及可访问的端点,创建新用户帐户,随后利用自定义脚本通过预定任务自动部署和“引爆”勒索软件加密器。 此外,在 CACTUS 恶意软件攻击过程中,还利用 Cobalt Strike 和 Chisel 隧道工具进行命令和控制,同时也“积极”利用 AnyDesk 等远程监控和管理(RMM)软件向受感染的主机推送文件。安全研究人员还观察到 CACTUS 恶意软件感染过程中禁用和卸载目标系统的安全解决方案,以及从 Web 浏览器和本地操作系统的安全管理子系统管理服务(LSASS)中可选择性地提取操作系统凭证以提升自身权限。 Cactus 勒索软件存在三种主要的执行模式,每种模式都使用特定的命令执行开关进行选择:设置(-s)、读取配置(-r)和加密(-i)。-s和-r参数允许威胁攻击者设置持久化并将数据存储在 C: ProgramData ntuser.dat 文件中,加密器稍后在使用 -r 命令行参数运行时读取该文件。 从研究人员的分析结果来看,CACTUS 勒索软件变体主要通过利用 VPN 设备中的漏洞,侵入目标受害者网络,这表明部分威胁攻击者一直在对远程访问服务和未修补的漏洞,进行初始入侵。 几天前,趋势科技也发现名为Rapture 的勒索软件,它的整个感染链最多可持续三到五天。这些攻击都是针对企业网络的,包括内部系统、数据中心以及云计算服务器。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
