今年6月VMware修补虚拟化平台ESXi的身分验证绕过漏洞CVE-2024-37085,隔月微软警告BlackByte疑似透过暴力破解取得初始存取权限,利用VPN存取受害组织内部网路环境,然后入侵2个管理员层级的帐号提升权限,其中1个帐号的用途,是存取vCenter伺服器;接著,攻击者为每个ESXi伺服器设置AD网域物件并加入网域,然后又建立其他帐号并加入名为ESX Admins的AD群组。骇客这么做,是为了利用CVE-2024-37085,从而让该群组的成员提升在ESXi的权限,控制虚拟机器(VM)、窜改伺服器配置、存取系统事件记录,或是监控效能。
这些骇客利用SMB及RDP这两个远端存取管道,进入受害组织的其他系统、资料夹及档案,并透过NTLM进行身分验证。他们也借由窜改系统登录档,或是手动从重要系统移除EDR系统的方式,来降低受害组织的资安防护强度,其中1起事故骇客甚至窜改ESXi主机的root密码。
值得留意的是,这些骇客除了利用上述漏洞,攻击手法也出现变化,首先,是勒索软体在启动的过程中,会一口气部署4个用于自带驱动程式(BYOVD)攻击的驱动程式,这些元件来自微星系统超频工具Afterburner、Dell用户端韧体更新工具、技嘉主机板公用程式,以及防毒软体Zemana。这些骇客并非首度滥用合法驱动程式,但研究人员指出,过往这些骇客只会运用2至3支驱动程式。
此外,骇客在侦察过程滥用特定使用者帐号,并利用SRVSVC命名管道及特定功能,找出网路环境的共用资料夹。
在此同时,骇客会窜改Windows电脑的登录机码,停用防毒软体Microsoft Defender,并将EXE档列入白名单,然后删除System32资料夹的特定档案,例如:taskmgr.exe、perfmon.exe、shutdown.exe。