首页 > 热点资讯 > 正文

#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击

2024-10-24 18:29 来源:网络

今天给各位分享#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击,其中也会对大家所疑惑的内容进行解释,如果能解决您现在面临的问题,别忘了关注多特软件站哦,现在开始吧!

#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击

APT组织再次活跃—通过爆破数据库发起勒索攻击

近段时间,客户报告服务器文件遭遇加密事件,新华三安全研究团队迅速响应。调查揭示,受感染主机存有大量MSSQL数据库尝试登录的日志及PowerShell执行记录。通过对这些日志与相关样本的深入剖析,确认了这是一起由名为“匿影”的黑客组织策动的攻击。

“匿影”组织自2019年3月首度曝光以来,持续活跃,其攻击手法不断进化。在初期,该组织利用“永恒之蓝”漏洞植入挖矿恶意软件,利用受害者的计算资源挖掘加密货币门罗币。2020年4月,“WannaRen”勒索病毒的大规模爆发,经调查,幕后操纵者正是“匿影”。进入12月,研究人员在一次“匿影”行动中发现了名为CryptoJoker的新勒索模块,赎金要求提升,同时发现该组织增添了文件盗窃模块,专注于窃取如数字货币钱包、个人证件和密码等敏感数据。随着国家对挖矿活动的严格管控,该组织战略转向,强化了勒索和窃密能力。后续跟踪显示,其大多数活动以勒索为目的,标志着策略重点的转移。

**攻击流程详解**

新华三攻防实验室详细重构了“匿影”的勒索攻击流程:

- **初步入侵**:通过MSSQL扫描和暴力破解获取主机权限,利用PowerShell执行远程命令下载并执行cpu2.txt。

- **载荷部署**:cpu2.txt实为下载器,将各类文件置于C:\Users\Public目录,随后执行ms.exe。

- **隐蔽技术**:ms.exe利用白名单程序加载恶意dll,逃避安全软件,lu.exe(原名Start.exe,与Sandboxie相关)加载SbieDll.dll进行解密操作。

- **实施勒索**:123.txt经过Base64编码,解码后包含PE文件和壳代码,通过复杂的解密过程,最终在内存中执行恶意代码。此外,shell.txt含有多个PE文件,用于提升权限、终止进程、服务和加密文件。

**技术特点与对策**

“匿影”善于通过公共平台散播恶意软件,采用模块化设计和多种逃避检测的技术,包括无文件攻击、白加黑技术以及加密混淆。针对这些威胁,新华三建议加强网络安全管理,如使用强密码、官方软件、及时补丁更新,以及定期备份数据,并提供相应的安全产品更新以对抗此类攻击。

**新华三安全防护策略**:

1. 避免公开暴露重要服务,加强密码强度。

2. 从可靠来源下载软件,并使用合法授权。

3. 确保系统补丁即时更新。

4. 定期备份重要数据。

5. 启用新华三提供的IPS和AV特征库更新,以防范已知威胁。

通过以上措施,企业和个人用户可以更有效地防御“匿影”组织的攻击,保障信息安全。

以上内容就是小编为大家整理的#APT破表#APT组织再次活跃—通过爆破数据库发起勒索攻击全部内容了,希望能够帮助到各位小伙伴了解情况!

了解更多消息请关注收藏我们的网站(news.y866.cn)。

文章内容来源于网络,不代表本站立场,若侵犯到您的权益,可联系多特删除。(联系邮箱:9145908@qq.com)