每周安全速递³¹⁶｜朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击

第316期

本周热点事件威胁情报

朝鲜黑客组织与Play勒索病毒联手展开重大网络攻击

根据研究人员的最新报告，朝鲜黑客组织Jumpy Pisces（也称为Andariel等）近期与Play勒索病毒团伙合作，实施了一系列网络攻击，显示出其财务动机。这一活动发生在2024年5月至9月，标志着该国家支持的组织首次与地下勒索网络合作。Jumpy Pisces与朝鲜的侦察总局有关，曾使用其他两种勒索病毒。虽然Symantec指出该组织在2024年8月曾针对美国三家不同组织进行攻击，但未实际部署勒索病毒，但此事件显然展示了其与Play勒索病毒的联系。Play勒索病毒自2023年10月以来影响了约300个组织。研究人员的调查显示，Andariel通过一个被侵入的用户账户获得初始访问权限，并利用Sliver命令与控制（C2）框架和名为Dtrack的后门进行横向移动和持久化操作。这一系列活动最终导致Play勒索病毒的部署，然而，Jumpy Pisces是否真正成为Play的加盟者仍未明确。

参考链接：

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

PSAUX勒索软件攻击22000台CyberPanel实例

10月29日，约22000台暴露的CyberPanel实例因严重远程代码执行漏洞（RCE）遭到PSAUX勒索软件大规模攻击。该漏洞存在于CyberPanel 2.3.6版本，攻击者利用此漏洞实现远程未授权的根权限访问，并在服务器上加密数据。安全研究员DreyAnd发现，CyberPanel的身份验证、命令注入和安全过滤机制存在缺陷，使得攻击者能够执行任意命令并实施勒索。攻击导致几乎所有受影响实例脱机，涉及超过15万域名和数据库的管理。虽然GitHub已更新安全修复，但尚未发布正式版本或CVE编号。目前，研究人员已发布一个解密工具，受害者需谨慎备份数据以免因错误密钥导致数据损坏。

参考链接：

https://www.bleepingcomputer.com/news/security/massive-psaux-ransomware-attack-targets-22-000-cyberpanel-instances/

Fog勒索软件利用SonicWall VPN漏洞入侵企业网络

最近，Fog和Akira勒索软件团伙通过SonicWall VPN账户，利用CVE-2024-40766漏洞，频繁侵入企业网络。SonicWall在2024年8月底修复了该漏洞，并在随后一周警告称该漏洞已被积极利用。最新的报告指出，Akira和Fog勒索软件行动至少进行了30次入侵，这些入侵都始于通过SonicWall VPN账户的远程访问。在这些案例中，75%与Akira有关，其余的则归因于Fog勒索软件。值得注意的是，这两个威胁团伙似乎共享基础设施，显示出两者之间非正式合作的延续。尽管研究人员不能完全确定所有案例都利用了该漏洞，但所有被入侵的终端都运行着易受攻击的旧版本。在大多数情况下，从入侵到数据加密的时间很短，通常约为十个小时，最快甚至达到1.5至2小时。许多攻击中，攻击者通过VPN/VPS访问终端，隐藏其真实IP地址。在随后的攻击阶段，威胁者迅速加密，主要针对虚拟机及其备份。被侵入系统的数据窃取涉及文档和专有软件，但攻击者对超过六个月（或更敏感文件超过30个月）的文件不感兴趣。Fog勒索软件于2024年5月推出，通常利用被盗的VPN凭证进行初始访问。

参考链接：

https://arcticwolf.com/resources/blog/arctic-wolf-labs-observes-increased-fog-and-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn/

四名REvil勒索软件成员在俄被判刑

四名REvil勒索软件组织的前成员在俄罗斯被判处多年监禁，此次判决标志着俄罗斯境内对黑客和洗钱活动的少见定罪。这四名男子分别是阿尔忒弥斯·扎耶茨（Artem Zaets）、阿列克谢·马洛泽莫夫（Alexei Malozemov）、达尼尔·普齐列夫斯基（Daniil Puzyrevsky）和鲁斯兰·汉斯维亚罗夫（Ruslan Khansvyarov）。他们因非法支付处理被定罪，普齐列夫斯基和汉斯维亚罗夫还因使用和传播恶意软件而受到指控。据俄罗斯媒体《生意人报》报道，圣彼得堡驻军军事法庭于10月25日宣布了对这四人的判决，扎耶茨和马洛泽莫夫分别被判处4.5年和5年的监禁，而汉斯维亚罗夫和普齐列夫斯基则被判处5.5年和6年的监禁。这四名男子是在美国要求下对REvil勒索软件组织进行调查的过程中被识别出来的，该组织的领导人与针对外国科技公司的网络攻击有关。

参考链接：

https://www.kommersant.ru/doc/7263987

Black Basta勒索软件伪装IT员工通过Microsoft Teams入侵网络

Black Basta勒索软件团伙近期通过Microsoft Teams开展社会工程攻击，假扮公司IT帮助台联系员工，以协助解决垃圾邮件问题为由实施攻击。该团伙自2022年4月活跃以来，已对全球数百家企业发动攻击。最近的攻击中，攻击者通过Microsoft Teams作为外部用户联系员工，冒充公司IT支持，协助处理垃圾邮件问题。他们创建的账户使用类似于“帮助台”的Entra ID租户，诱导目标用户安装AnyDesk或启动Windows Quick Assist工具，以获得设备远程访问权限。一旦获得访问权限，攻击者会安装“AntispamAccount.exe”等有效负载，最终部署Cobalt Strike以全面控制受害者设备，进一步侵入网络。研究人员建议企业限制Microsoft Teams中外部用户的通信权限，启用日志记录以检测可疑聊天活动。该攻击背后的黑客被认为来自俄罗斯，进一步显示了对企业网络安全的严重威胁。

参考链接：

https://www.reliaquest.com/blog/black-basta-social-engineering-technique-microsoft-teams/

Qilin.B勒索软件新变种加强加密与检测规避

研究人员发现Qilin勒索软件的最新变种Qilin.B，展现出更强的加密和规避能力。Qilin.B利用AES-256-CTR和Chacha20双重加密算法，结合RSA-4096加密密钥管理，提高了文件解密难度。此外，Qilin.B通过不断清理Windows事件日志、终止与安全工具相关的服务、以及删除卷影副本，抵御分析和检测。该变种还会结束与备份和虚拟化服务有关的进程，如Veeam、SQL和SAP，进一步阻碍受害者的恢复操作。研究报告指出，这一勒索软件变体标志着Qilin家族的持续进化，成为更具威胁性的网络攻击工具。同时，Rust语言的使用在勒索软件开发中也日益普及，如新发现的Embargo勒索软件，显示出更复杂的攻击链条。

参考链接：

https://www.halcyon.ai/blog/new-qilin-b-ransomware-variant-boasts-enhanced-encryption-and-defense-evasion