黑客团伙BlackCat(也被称为ALPHV)利用Google和Bing的搜索广告推广一个知名的文件传输应用,诱使用户下载恶意载荷,从而将恶意软件传播到企业网络。这个恶意广告活动将点击恶意广告的任何人导向WinSCP(一个流行的开源Windows应用程序,用于在本地计算机和远程服务器之间复制文件)的仿冒下载页面。Trend Micro的研究员Lucas Silva, RonJay Caragay, Arianne Dela Cruz和Gabriel Cardoso在6月30日的一份研究报告中详细描述了他们是如何与一家通过这个活动受到攻击的受害者进行合作。报告描述了在攻击过程中使用的一系列工具、技术和程序(TTP),包括合法和非法的工具、脚本和命令,以及他们在另一项调查中如何发现类似的TTP导致了BlackCat的感染。在第一次案例中,威胁攻击者成功从受害者的网络中被移除,但在此之前,他们已经获取并滥用了顶级管理员权限,尝试建立持久性,并使用包括AnyDesk在内的远程管理工具在网络中植入后门。接下来,对手试图窃取密码并访问备份服务器。“如果没有及时干预,企业可能会受到这次攻击的重大影响,特别是因为威胁行动者已经成功获得了对域管理员权限的初步访问,并开始建立后门和持久性,”研究人员说。
广告如何导致妥协
WinSCP对于IT专业人士尤其是系统管理员和网络管理员来说是一个非常有用的工具,因此成为吸引有权访问BlackCat希望攻击的企业网络的受害者的理想诱饵。“当用户在Bing搜索引擎中搜索‘WinSCP Download’时,感染就开始了。一个为WinSCP应用程序的恶意广告显示在自然搜索结果之上。广告将用户引导到一个含有如何使用WinSCP自动化文件传输教程的可疑网站,”研究人员说。用户然后被引导到一个克隆的WinSCP下载网页winsccp[.]com——一个类似于合法WinSCP站点winscp.net的地址——在那里他们被提示下载一个恶意ISO文件。该ISO包含两个文件:setup.exe,一个重命名的msiexec.exe可执行文件,和msi.dll,一个延迟加载的DLL,充当一个实际的WinSCP安装程序以及一个恶意的Python执行环境,该环境下载Cobalt Strike信标。
攻击者的工具包
Cobalt Strike是一个红队渗透测试工具,用于攻击模拟。该工具的破解版本已经越来越受到威胁行动者的青睐。攻击中使用的其他工具包括AdFind,用于从Active Directory环境中检索和显示信息。Trend Micro的报告说,“在威胁行动者的手中,AdFind可以被误用来枚举用户账户、提升权限,甚至提取密码散列。”“我们还观察到威胁行动者使用了AccessChk64,这是由Sysinternals开发的一个命令行工具,主要用于检查Windows中的对象的安全权限和访问权。尽管威胁行动者在这个实例中使用该工具的目的不清楚,但应注意该工具可以用于获取用户和组被分配的权限的信息,以及用于提升权限和识别文件、目录或服务的弱访问控制设置。”攻击者使用Windows命令行工具findstr在被攻击的系统上的XML文件中搜索特定的字符串。“这个命令的目的可能是识别任何包含字符串cpassword的XML文件。从安全的角度来看,这很有趣,因为cpassword与AD中的组策略偏好的存储密码的一种已弃用的方法有关,”研究人员说。PowerShell被用来执行脚本,包括PowerView,它是PowerSploit渗透测试脚本集合的一部分,被威胁行动者用来收集有关Active Directory环境的信息。命令行工具PsExec, BitsAdmin和curl被用来下载额外的工具,并在环境中横向移动。KillAV BAT脚本在试图禁用或绕过系统上安装的防病毒或反恶意软件程序的尝试中被使用,但并未成功,威胁行动者安装了AnyDesk以试图保持持久性。
类似的TTPs指向BlackCat
在Trend Micro的后续调查中,他们发现了类似的TTP,这些TTP指向了BlackCat的感染,研究人员说还使用了额外的工具。“除了已经提到的其他类型的恶意软件和工具,我们还能够识别到使用反病毒或反端点检测和响应(EDR)SpyBoy Terminator的尝试,以干扰由代理提供的保护,”他们写道。“为了窃取客户数据,威胁行动者使用了PuTTY Secure Copy client (PSCP)来传输收集到的信息。调查威胁行动者使用的其中一个C&C(命令和控制)域,也发现了可能与此次感染有关的Cl0p勒索软件文件。”(Clop勒索软件组是最近对MOVEit Transfer发起攻击的责任者。)
一位Twitter用户发布了一个帖子,称一个具有类似TTPs的恶意广告活动使用的是AnyDesk广告,而不是WinSCP作为诱饵。Trend Micro已经发布了这些攻击的已知妥协指标。研究人员写道:“近年来,攻击者越来越善于利用受害者自己都不知道的漏洞,并开始采取组织无法预期的行为。”“除了持续努力防止任何未经授权的访问外,在组织的网络内部早期检测和响应至关重要。及时的补救也是必不可少的,因为反应时间的延迟可能导致严重的损害。”