为了逃避安全软件的检测,恶意软件开发人员和威胁参与者越来越多地使用受损的代码签名证书来签署他们的恶意软件。
本周,当微软在12 月补丁星期二期间披露开发者帐户被入侵以在 Windows 硬件开发者计划中签署恶意的内核模式硬件驱动程序时,就说明了这一趋势。
当微软签署这些驱动程序时,它允许将它们加载到 Windows 中并在操作系统中获得最高级别的权限。
这些驱动程序被用作由 STONESTOP(加载程序)和 POORTRY(驱动程序)恶意软件组成的工具包的一部分,这些恶意软件禁用受保护的安全软件进程和在计算机上运行的 Windows 服务。
来自Microsoft、Mandiant、Sophos和SentinelOne的协调报告表明,多个威胁参与者使用了使用这些受感染帐户签名的恶意软件,包括 Hive 和 Cuba 勒索软件操作。
微软还 修复了一个 Windows Mark of the Web 零日漏洞,威胁参与者在恶意软件分发活动中积极利用该漏洞,包括 Magniber Ransomware 和 QBot。
本周发布的其他研究包括:
- Clop 勒索软件使用 TrueBot 恶意软件访问网络
- 揭开 Azov 勒索软件的面纱:不是 Skidsware 而是多态擦除器
- 深入了解 BianLian 勒索软件
- Royal Rumble:Royal 勒索软件分析
- Agenda 勒索软件使用 Rust 瞄准更多重要行业
最后,本周也有不少网络攻击或攻击信息,但只有少数被确认为勒索软件。
勒索软件攻击包括对加利福尼亚财政部的 LockBit 攻击。Play 勒索软件行动声称对比利时安特卫普市发动了攻击,BlackCat 勒索软件攻击了哥伦比亚最大的能源供应商之一的 EPM。
贡献者和本周提供新勒索软件信息和故事的人包括: @ struppigel、 @ VK_Intel、 @ billtoulas、 @ FourOctets、 @ jorntvdw、 @ BleepinComputer、 @ DanielGallagher、@demonslay335、 @ malwrhunterteam、 @ fwosar、 @ Seifreed、 @ serghei、@malwareforme、 @ Ionut_Ilascu、 @LawrenceAbrams 、 @ PolarToffee、 @ _CPResearch_、@vinopaljiri、@ cybereason、@1ZRR4H 、 @ TalosSecurity、 @ pcrisk、 @TrendMicro 、 @ GeeksCyber 和@Digitaleragroup
2022 年 12 月 11 日
Clop 勒索软件使用 TrueBot 恶意软件访问网络
安全研究人员注意到,感染 TrueBot 恶意软件下载程序的设备激增,该下载程序由一个名为 Silence 的俄语黑客组织创建。
2022 年 12 月 12 日
Play 勒索软件声称攻击比利时安特卫普市
Play 勒索软件行动声称对最近对比利时安特卫普市的网络攻击负责。
揭开 Azov 勒索软件的面纱:不是 Skidsware 而是多态擦除器
Azov 与普通勒索软件的区别之一是它修改了某些 64 位可执行文件以执行自己的代码。在现代互联网出现之前,这种行为曾经是恶意软件泛滥的必经之路;正因为如此,直到今天,它仍然是“计算机病毒”的教科书定义(这一事实深受业内学究的喜爱,也同样遭到其他所有人的反感)。
新的 STOP 勒索软件变种
PCrisk发现了新的 STOP 勒索软件变体,它们附加了.manw和.maos扩展名。
2022 年 12 月 13 日
LockBit 声称对加州财政部的攻击
加利福尼亚州的财政部一直是 LockBit 勒索软件团伙现在声称的网络攻击目标。
用于勒索软件攻击的 Microsoft 签名恶意 Windows 驱动程序
在通过配置文件签名的驱动程序被用于网络攻击(包括勒索软件事件)后,微软撤销了多个微软硬件开发者帐户。
深入了解 BianLian 勒索软件
BianLian 勒索软件是一种 Golang 恶意软件,在 2022 年对多个行业进行了有针对性的攻击。勒索软件采用了由 API 调用组成的反分析技术,可能会使某些沙箱/自动分析系统崩溃。该恶意软件以机器上识别的所有驱动器为目标,并在加密完成后自行删除。
新的 STOP 勒索软件变种
PCrisk 发现了一个新的 STOP 勒索软件变体,它附加了.matu扩展名。
新的 Dharma 勒索软件变种
PCrisk 发现了一个新的 Dharma 勒索软件变体,它附加了.hebem扩展名并释放了一个名为info.txt的赎金票据。
新的 Luckknite 勒索软件
PCrisk 发现了一个新的 Luckknite 勒索软件,它附加了.lucknite扩展名并释放了一个名为README.txt的赎金票据。
新的 Chaos 勒索软件变种
PCrisk 发现了一个新的 Chaos 勒索软件变体,它附加了.xllm扩展名并删除了一个名为read_it.txt的勒索票据。
2022 年 12 月 14 日
微软修补了用于投放勒索软件的 Windows 零日漏洞
Microsoft 修复了威胁行为者用来规避 Windows SmartScreen 安全功能并提供 Magniber 勒索软件和 Qbot 恶意软件有效负载的安全漏洞。
Royal Rumble:Royal 勒索软件分析
Royal 勒索软件组织于 2022 年初出现,并自年中以来势头强劲。该组织通过不同的 TTP 部署的勒索软件已经影响了全球多个组织。根据研究人员在 Royal 勒索软件和其他勒索软件运营商之间观察到的相似性,该组织本身被怀疑由其他勒索软件组织的前成员组成。
Masscan 勒索软件威胁分析 – 2022 年网络情报报告
2022 年下半年,许多韩国公司报告了多起勒索软件破坏案例。这种破坏在其方面是独一无二的,攻击者渗透了具有易受攻击的安全系统的数据库 (DB) 服务器,分发勒索软件,加密文件,并在文件扩展名中添加了“.masscan”字符串。
新的 BLOCKY 勒索软件
PCrisk 发现了一个新的 Blocky 勒索软件,它附加了.Locked扩展名并投放了一张名为READ_IT.txt的赎金票据。
新的 HentaiLocker 勒索软件
PCrisk 发现了一个新的勒索软件,它附加了.HENTAI扩展名并释放了一个名为UNLOCKFILES.txt的勒索字条。
2022 年 12 月 16 日
哥伦比亚能源供应商 EPM 遭受 BlackCat 勒索软件攻击
哥伦比亚能源公司 Empresas Públicas de Medellín (EPM) 周一遭受了 BlackCat/ALPHV 勒索软件攻击,公司运营中断,在线服务中断。
Agenda 勒索软件使用 Rust 瞄准更多重要行业
今年,BlackCat、Hive 和 RansomExx 等勒索软件即服务 (RaaS) 组织使用 Rust 开发了他们的勒索软件版本,Rust 是一种跨平台语言,可以更轻松地针对 Windows 和 Linux 等不同操作系统定制恶意软件. 在此博客文章中,我们阐明了 Agenda(也称为 Qilin),这是另一个已开始使用这种语言的勒索软件组织。
新的 STOP 勒索软件变种
PCrisk 发现了新的 STOP 勒索软件变体,它们附加了.btnw、.btos和.bttu扩展名。
Agenda 勒索软件使用 Rust 瞄准更多重要行业
今年,BlackCat、Hive 和 RansomExx 等勒索软件即服务 (RaaS) 组织使用 Rust 开发了他们的勒索软件版本,Rust 是一种跨平台语言,可以更轻松地针对 Windows 和 Linux 等不同操作系统定制恶意软件. 在此博客文章中,我们阐明了 Agenda(也称为 Qilin),这是另一个已开始使用这种语言的勒索软件组织。
