HackerNews 编译,转载请注明出处:
勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机,大规模托管并分发恶意攻击载荷。
网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时,发现了该攻击手法。研究人员发现,攻击者使用的 Windows 虚拟机均带有相同主机名,推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。
深入调查后研究人员发现,该相同主机名还出现在多个勒索软件团伙的基础设施中,包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。
ISPsystem是一家正规软件公司,主营托管服务商专用控制面板开发,可用于虚拟服务器管理、操作系统维护等场景。VMmanager 是该公司旗下虚拟化管理平台,可为客户快速创建 Windows 或 Linux 虚拟机。
Sophos发现,VMmanager 的 Windows 默认模板每次部署时,都会复用相同的主机名及系统标识符。
部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商,正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机,将其用作命令与控制(C2)及恶意载荷投递基础设施。
这一行为本质是将恶意系统隐藏在数千台正常虚拟机中,既增加了攻击溯源难度,也让快速下架恶意节点成为泡影。
绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管,包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。
Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP,该服务商利用 VMmanager 规避检测,提供的虚拟专用服务器(VPS)及远程桌面(RDP)服务均不响应合法合规请求。
据Sophos统计,ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”,具体如下:
· WIN-LIVFRVQFMKO
· WIN-LIVFRVQFMKO
· WIN-344VU98D3RU
· WIN-J9D866ESIJ2
这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。
研究人员指出,尽管 ISPsystem VMmanager 是合法虚拟化管理平台,但因其 “成本低、准入门槛低、具备一站式部署能力”,对网络犯罪分子极具吸引力。
科技媒体 BleepingComputer 已联系 ISPsystem,询问其是否知晓 VM 模板遭大规模滥用及后续整改计划,但截至发稿时尚未收到回应。
消息来源:bleepingcomputer.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文