Sophos今日发布攻击者如何入侵并在美国地方政府伺服器中躲藏长达5个月的调查结果，攻击者甚至还利用该伺服器上网浏览可以帮助他们执行攻击的骇客和IT管理工具，并窃取资料和部署Lockbit勒索软体之前安装了一个加密挖矿程式。

最新文章《攻击者逗留在政府机构电脑上并部署Lockbit勒索软体》详细介绍了这些发现，并表明多个攻击者先後入侵了这一台易受攻击的伺服器。该攻击由Sophos事件回应团队加以遏阻和调查。

Sophos首席安全研究员Andrew Brandt表示：「这是一次非常混乱的攻击。透过与目标合作，Sophos研究人员能够勾勒出攻击的进展。一开始似??是没经验的新手入侵了这台伺服器，他们在网中四处寻找，并使用受感染伺服器在Google中搜寻盗版和免费的骇客与合法管理工具，以便用於後续攻击。不过接着他们似??不确定下一步该做什麽。」

Andrew Brandt进一步表示：「在最初的入侵事件发生後大约4个月，攻击出现变化，甚至在某些情况下变化非常大，代表有不同程度的攻击者已经加入战局。这些攻击者开始尝试移除安全软体。最终他们窃取了多台电脑上的资料，并部署Lockbit勒索软体加密档案。」

Sophos研究人员发现，攻击的起点是防火墙上的一个开放远端桌面通讯协（RDP）连接埠，该连接埠被设定为对外公开以存取伺服器。攻击者於2021年9月入侵了这台伺服器，然後使用这台伺服器上的浏览器上网搜寻可用於骇客攻击的工具并尝试安装它们。在某些情况下，攻击者搜寻时甚至被连线到会载入广告软体的地下网站而不是想要寻找的工具。

根据研究表明，攻击者的行为在1月中旬发生显着变化，出现了技术能力更强且专注的活动迹象。攻击者利用该电脑在完成维护後不慎停用保护功能的弱点，试图移除前一手安装的恶意加密挖矿程式并卸载安全软体。接着攻击者收集并窃取资料，然後部署Lockbit勒索软体。勒索软体攻击只成功了一部分，攻击者未能加密某些电脑上的资料。

攻击者试图安装的工具包括Advanced Port Scanner、FileZilla、LaZagne、mimikatz、NLBrute、Process Hacker、PuTTY、Remote Desktop Passview、RDP Brute Forcer、SniffPass和WinSCP，甚至还安装了商用的远端存取工具，包括ScreenConnect和AnyDesk。

Brandt表示：「若非IT部门的人员因特定用途下载这些工具，那麽当网路上的电脑出现它们时，就可能是受到或即将受到攻击的危险信号。意外或异常的网路活动，例如电脑会扫描网路，则是另一个可能的指标。此外在只能从网路内部存取的电脑上重复发生RDP登入失败，表明有人正使用暴力工具试图横向移动；同样的还有看到IT部门未安装或已经有一段时间没有使用的商用远端存取工具连线。」

Brandt进一步表示：「采用强大、主动且全天候运作的深度防御，将有助於防止此类攻击站稳脚跟并展开行动。最重要的第一步是先阻止攻击者存取网路，例如部署多因素验证和防火墙规则，以在没有VPN连线的情况下阻止远端存取RDP连接埠的行为。」