Sophos今日發布最新研究《Dridex殭屍網路在近期攻擊中散佈Entropy勒索軟體》,詳細介紹用途廣泛的Dridex殭屍網路和鮮為人知的Entropy勒索軟體程式碼極為相似。相似之處包括用於隱藏勒索軟體程式碼的軟體打包程式、尋找和模糊命令(API) 呼叫的惡意軟體副程式,以及用於解密加密文字的副程式。
上述攻擊鎖定一家媒體公司和一家地方政府機構,使用特製版本的Entropy勒索軟體動態連結程式庫(DLL),並將目標名稱嵌入在勒索軟體程式碼中。在兩次攻擊中,攻擊者還在一些受害電腦上部署Cobalt Strike,並使用合法的WinRAR壓縮工具將資料外洩到雲端儲存供應商,然後在未受保護的電腦上啟動勒索軟體。
Sophos首席研究員Andrew Brandt表示:「惡意軟體操作者共用、借用或竊取彼此的程式碼並非新鮮事,目的無非是為了節省撰寫程式碼的時間、故意誤導追蹤,或是分散安全研究人員的注意力。這種做法使我們更難找出能證實其與惡意軟體家族相關或是被栽贓的證據,使得調查人員更難著手且攻擊者更容易消遙法外。在本次分析中,Sophos仔細分析Dridex和Entropy用來增加鑑識分析難度的程式碼,包括防止對底層惡意軟體進行簡單靜態分析的打包程式碼、程式用來隱藏命令(API)呼叫的副程式,以及解密惡意軟體內加密文字字串的副程式。研究人員發現,兩種惡意軟體中的副程式基本上都使用了相似的程式碼和邏輯。」
在針對媒體機構的攻擊中,攻擊者利用ProxyShell對有弱點的Exchange伺服器安裝遠端命令介面,以便日後能利用它將Cobalt Strike信標傳播到其他電腦。攻擊者在網路中待四個月,於2021年12月初啟動Entropy。
在針對地方政府組織的攻擊中,受害者是經由惡意電子郵件附件感染Dridex惡意軟體。攻擊者隨後使用Dridex傳遞額外的惡意軟體,並在目標網路內橫向移動。事件分析表明,在最初偵測到某一電腦上出現可疑登入後75小時,攻擊者開始竊取資料並將其轉移到多個雲端供應商。
調查發現,在這兩個案例中,攻擊者都利用未修補且易受攻擊的Windows系統並濫用合法工具。定期安全修補,以及安排威脅捕獵人員和安全營運團隊對可疑警示積極調查,有助於使攻擊者更難獲得目標的初始存取權限和部署惡意程式碼。
Sophos端點產品(例如 Intercept X)能透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者,例如上述Sophos研究中描述的攻擊。