使用窃资软体Lumma的骇客组织近期动作相当频繁,其攻击行动经常会使用较为罕见的招式,例如:利用三角量测判断所处的是真实使用者操作环境,或是研究人员分析用的沙箱;再者,这些骇客前阵子
资安业者Arctic Wolf揭露近期的勒索软体Cactus攻击行动,骇客锁定资料分析系统Qlik Sense的漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365(CVSS风险评分介于8.2至9.9),于目标系统执行程式码,触发Qlik Sense Scheduler执行新的处理程序。
攻击者利用PowerShell和背景智慧型传送服务(BITS),下载其他作案工具,并进行远端控制。这些骇客载入受害伺服器的工具,包含:ManageEngine UEMS系统的主程式、远端桌面连线工具AnyDesk、SSH终端机连线程式PuTTY Link(Plink),然后执行多项命令并将结果输出到特定的TrueType字型档(TTF),研究人员推测,攻击者这么做的目的,是为了利用路径穿越的方式来输出命令。
接著,攻击者进一步移除Sophos防毒软体、窜改管理者密码、利用Plink命令列建立远端桌面连线隧道,最终部署勒索软体并进行档案加密。此外,骇客也利用WizTree、rclone来分析、窃取伺服器的资料。
而对于受害组织的地区分布,研究人员指出,61.9%是美国组织,德国组织居次,占15.8%。由于恶意软体QBot(亦称Qakbot)在攻击行动提供骇客组织Black Basta初始入侵管道,经营此恶意软体的人士大约会拿到赎金的10%抽成,提供作案工具的经营团队平均会收取14%赎金,而骇客流通这些金钱的管道是俄罗斯加密货币交易所Garantex。 资料来源 1.
骇客透过RAR压缩档来散布此木马程式,该压缩档的内容包含了Windows捷径档(LNK),或是触发LNK的恶意文件档案,一旦使用者执行,电脑就有可能执行JavaScirpt指令码,从而感染SugarGh0st。研究人员根据骇客所使用的诱饵文件档案,推测骇客来自中国。 【漏洞与修补】