IceFire勒索软件利用IBM Aspera Faspex攻击基于Linux的企业网络

之前已知的基于 Windows 的勒索软件 IceFire 已将其重点扩展到全球多个媒体和娱乐部门组织的 Linux 企业网络。

据网络安全公司 SentinelOne 称，这些入侵需要利用 IBM Aspera Faspex 文件共享软件中最近披露的反序列化漏洞（CVE-2022-47986 ，CVSS 评分：9.8）。

SentinelOne 高级威胁研究员 Alex Delamotte在与黑客新闻分享的一份报告中表示：“这一战略转变是一项重大举措，使他们与其他同样以 Linux 系统为目标的 勒索软件组织保持一致。”

SentinelOne 观察到的大部分攻击都针对位于土耳其、伊朗、巴基斯坦和阿联酋的公司，这些国家通常不会成为有组织的勒索软件团队的目标。

根据GuidePoint Security、Malwarebytes和NCC Group的说法， IceFire于 2022 年 3 月首次被MalwareHunterTeam检测到，但直到 2022 年 8 月受害者才通过其暗网泄漏站点公开。

针对 Linux 的勒索软件二进制文件是一个 2.18 MB 的 64 位 ELF 文件，它安装在运行易受攻击版本的 IBM Aspera Faspex 文件服务器软件的 CentOS 主机上。

它还能够避免加密某些路径，以便受感染的机器继续运行。

“与 Windows 相比，Linux 更难部署勒索软件——尤其是大规模部署，”Delamotte 说。“许多 Linux 系统都是服务器：网络钓鱼或路过式下载等典型的感染媒介效果较差。为了克服这一点，攻击者转向利用应用程序漏洞。”

Fortinet FortiGuard Labs 披露了一项新的 LockBit 勒索软件活动，该活动采用“规避交易技巧”来避免通过绕过网络标记 ( MotW ) 保护的 .IMG 容器进行检测。