日本企业组织自2022年遭遇MirrorFace攻击行动锁定,当地电脑紧急应变团队暨协调中心JPCERT/CC持续追踪相关动态,最近他们提出警告,这些骇客更换攻击目标,同时也调整入侵的手段,并使用新的恶意程式NoopDoor。
值得留意的是,在部分攻击行动里,对方使用了相当罕见的手法执行恶意程式,他们滥用MSBuild公用程式载入含有程式码的XML档案,从而产生相关作案工具。
【攻击与威胁】
JPCERT/CC指出,这些骇客原本的初始攻击管道,主要是透过钓鱼邮件,但现在针对可透过网际网路存取的Array AG远端SSL VPN存取平台、FortiGate防火墙而来,此外,研究人员也不排除对方锁定档案共用系统Proself下手的情况,最终在受害组织植入恶意软体NoopDoor。
无论对方从那一款设备入侵受害组织,最终的目的都是要部署NoopDoor。研究人员总共看到两种型态的恶意程式,主要差别在于,用来载入执行的档案种类不同:其中一种是透过XML档案执行,另一种则是使用DLL档案侧载NoopDoor。
从去年1月开始,SentinelOne发现AvosLocker、MedusaLocker、BlackCat、Trigona、LockBit等多个勒索软体骇客组织,也加入使用AuKill的行列,反倒是Black Basta在调查结果发表后,不再使用这款工具,并调整部分的策略、技术、流程(TTP)。这样的现象,代表AuKill并非FIN7专为Black Basta打造的工具,研究人员后来也发现这些骇客在多个地下论坛兜售AuKill的情况。
持续演化至今,研究人员发现AuKill增加新的手段,那就是滥用Windows作业系统内建的ProcLaunchMon.sys,这是用来监督「时间历程除错(Time Travel Debugging,TTD)」的驱动程式,对方结合这种驱动程式与特定的作业流程,导致某些受保护处理程序的实作无法与子程序沟通而发生故障,最终造成阻断服务(DoS)。他们滥用ProcLaunchMon.sys及特定版本的Process Explorer驱动程式,来达到上述目的。
根据新闻网站Wired的报导,AT&T决定向骇客低头,支付赎金给骇客组织ShinyHunters的其中一名成员,以此条件促使对方删除所窃取到的资料。这名骇客向该媒体透露收款的加密货币钱包地址,以及向他付款的来源钱包地址。Wired使用区块链追踪工具进行验证,上述两个加密货币钱包在5月17日出现一笔约为5.7个比特币的交易款项。加密货币追踪业者TRM Labs也证实这笔交易,他们看到金额约为5.72个比特币,当时交易金额相当于373,646美元。随后骇客经由数个加密货币交易所及钱包洗钱,但钱包的所有者身分目前仍不得而知。
其他攻击与威胁