Sophos今日发布最新研究《Dridex??尸网路在近期攻击中散布Entropy勒索软体》，详细介绍用途广泛的Dridex??尸网路和鲜为人知的Entropy勒索软体程式码极为相似。相似之处包括用於隐藏勒索软体程式码的软体打包程式、寻找和模糊命令（API） 呼叫的恶意软体??程式，以及用於解密加密文字的??程式。

上述攻击锁定一家媒体公司和一家地方政府机构，使用特制版本的Entropy勒索软体动态连结程式库（DLL），并将目标名称嵌入在勒索软体程式码中。在两次攻击中，攻击者还在一些受害电脑上部署Cobalt Strike，并使用合法的WinRAR压缩工具将资料外泄到云端储存供应商，然後在未受保护的电脑上启动勒索软体。

Sophos首席研究员Andrew Brandt表示：「恶意软体操作者共用、借用或窃取彼此的程式码并非新鲜事，目的无非是为了节省撰写程式码的时间、故意误导追踪，或是分散安全研究人员的注意力。这种做法使我们更难找出能证实其与恶意软体家族相关或是被栽赃的证据，使得调查人员更难着手且攻击者更容易消遥法外。在本次分析中，Sophos仔细分析Dridex和Entropy用来增加监识分析难度的程式码，包括防止对底层恶意软体进行简单静态分析的打包程式码、程式用来隐藏命令（API）呼叫的??程式，以及解密恶意软体内加密文字字串的??程式。研究人员发现，两种恶意软体中的??程式基本上都使用了相似的程式码和逻辑。」

在针对媒体机构的攻击中，攻击者利用ProxyShell对有弱点的Exchange伺服器安装远端命令介面，以便日後能利用它将Cobalt Strike信标传播到其他电脑。攻击者在网路中待四个月，於2021年12月初启动Entropy。

在针对地方政府组织的攻击中，受害者是经由恶意电子邮件附件感染Dridex恶意软体。攻击者随後使用Dridex传递额外的恶意软体，并在目标网路内横向移动。事件分析表明，在最初侦测到某一电脑上出现可疑登入後75小时，攻击者开始窃取资料并将其转移到多个云端供应商。

调查发现，在这两个案例中，攻击者都利用未修补且易受攻击的Windows系统并滥用合法工具。定期安全修补，以及安排威胁捕猎人员和安全营运团队对可疑警示积极调查，有助於使攻击者更难获得目标的初始存取权限和部署恶意程式码。

Sophos端点产品（例如 Intercept X）能透过侦测勒索软体和其他攻击的动作和行为来保护使用者，例如上述Sophos研究中描述的攻击。