2020年以来，意图发起“狩猎大型猎物”（BGH）攻击的网络犯罪团伙越来越多地针对VMware ESXi vSphere管理程序，部署专门设计的Linux版本勒索软件。 美国安全公司CrowdStrike观察到，这一趋势持续到了2023年第一季度，Alphv、Lockbit和Defray（CrowdStrike内部代号为ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索软件即服务（RaaS）平台均被用来攻击ESXi。 鉴于ESXi本身设计上不支持第三方代理或反病毒软件，并且VMware在其文档中明确表示不需要反病毒软件，这一趋势尤其值得注意。ESXi是一种广泛使用的虚拟化和管理系统，这使得它对网络犯罪团伙极具吸引力。 ESXi是什么？ ESXi是VMware开发的裸机虚拟机管理器（Type-1类型）。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器（Type-2类型）相比，裸机虚拟机管理器直接运行在专用主机硬件上，性能更佳，主要用于数据中心、云服务等场景。 ESXi系统通常由vCenter管理，vCenter是一个集中的服务器管理工具，可以控制多个ESXi设备。尽管ESXi不是Linux操作系统，但在ESXi命令行程序中可以运行一些Linux编译的ELF二进制文件。 与ESXi平台相关的几个重要的VMware产品包括： ESXi（或vSphere虚拟机管理器）：作为服务器，包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件； vCenter：身份和管理组件，以及用于一组ESXi服务器的完整资源管理器； ONE Access（或Identity Manager）：提供单点登录（SSO）解决方案，用于连接到vCenter或ESXi； Horizon：VMware的全面虚拟架构管理解决方案。 ESXi安全现状 VMware建议：“vSphere虚拟机管理器不需要使用防病毒软件，也不支持使用此类软件。” 除了缺乏ESXi安全工具外，网络犯罪团伙还积极利用了一些漏洞。2023年2月，法国计算机应急响应小组（CERT-FR）报告了一起勒索软件攻击事件，追踪代号为ESXiArgs。该攻击事件针对的是易受CVE-2020-3992或CVE-2021-21974漏洞影响，暴露于互联网的VMware ESXi虚拟机管理器。 这两个漏洞都针对ESXi虚拟机管理器中的OpenSLP服务。CVE-2021-21974允许未经身份验证的相邻网络攻击者在受影响的VMware ESXi实例上执行任意代码，但此前尚未被实际利用。CVE-2020-3992已被在野利用，它允许未经身份验证的对手在管理网络中的ESXi机器上访问端口427，并触发OpenSLP服务中的使用后释放问题，导致远程代码执行。 此前的公开报告还确认了CVE-2019-5544被实际利用，它同样影响了OpenSLP服务，并支持在受影响系统上执行远程代码。 在公开报告的CVE-2020-3992和CVE-2021-21974实际利用案例中，威胁行为者部署了一个名为vmtools.py的Python后门，存放在文件路径/store/packages/；这个文件名和文件路径与一个用户在公开论坛上分享的与当前ESXiArgs活动相关的行程序脚本的内容相匹配。 威胁态势正在恶化 由于在虚拟化领域中占据主导地位，VMware的产品线通常是组织的IT基础设施虚拟化和管理系统的关键组成部分，因此VMware虚拟基础架构产品对攻击者具有很大的吸引力。 越来越多的网络犯罪团伙意识到，缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使ESXi成为一个诱人的攻击环境。 例如，2023年4月，CrowdStrike发现了一个名为MichaelKors的新的勒索软件即服务程序，为附属团队提供针对Windows和ESXi/Linux系统的勒索软件二进制文件。其他能够针对ESXi环境进行攻击的勒索软件服务平台也在浮出水面，如Nevada勒索软件。 2022年9月末，Mandiant研究人员发现并披露了一个主要针对VMware ESXi和VMware vCenter服务器的新型恶意软件生态系统，它部署为恶意远程管理工具（RAT）。该远程管理工具可在受感染服务器上持久化运行，并与底层虚拟机进行交互、提取敏感信息。 在2022年末，CrowdStrike观察到ALPHA SPIDER使用Cobalt Strike变体对ESXi服务器进行后渗透活动，并使用SystemBC变体通过受感染的vCenter服务器在网络中持久运行。此外，SCATTERED SPIDER利用开源代理工具rsocx持续访问受害者的ESXi服务器。 CrowdStrike评估发现，很多知名网络犯罪团伙在不同行业和地区使用Log4Shell (CVE-2021-44228) 攻击VMware Horizon实例，包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。 针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护，放大了单次入侵的影响或帮助规避检测和防范机制。VMware产品过去曾受到关键漏洞的影响，攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。 攻击向量 凭证窃取 对ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后，攻击者可以轻松通过服务器的身份验证，根据攻击者的目的推进攻击。如果攻击者获得足够的权限，可以启用和访问SSH控制台，甚至能直接执行任意代码，即使在最新版ESXi上也是如此。 如果被入侵的账户具备访问虚拟机网络管理功能的权限，攻击者可以将虚拟机重新配置为代理，用于访问内部网络。此外，如果被入侵的账户仅提供对一组虚拟机的访问权限，攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞，以侵入目标网络。 一旦权限有限的攻击者成功访问了ESXi服务器，从初始访问到实现实际目标之间，需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站脚本攻击（XSS）漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如，CVE-2020-3955首先将恶意载荷嵌入虚拟机属性（例如主机名）中，然后欺骗系统管理员通过VMware管理界面访问这些恶意属性。据目前所知，这些XSS漏洞没有被用于实际攻击。另外，还存在CVE-2021-22043这种权限升级漏洞，它允许具备访问设置权限的用户升级权限；然而，截至本文撰写时，尚无公开可用的针对此漏洞的概念验证（POC）代码或武器化利用代码。CrowdStrike也没有了解到涉及这一特定漏洞的实际攻击活动。 根据行业报道，凭证窃取似乎是攻击者针对ESXi服务器的主要攻击向量。此外，CrowdStrike观察到的案例表明，攻击者通常通过其他手段获取对目标网络的访问权限，然后尝试收集ESXi凭证以达到最终目标，如部署勒索软件；所有这些案例中，攻击者窃取的凭证具备足够的特权，使其可以直接执行任意代码。 虚拟机访问 如上文介绍，虚拟机可以通过两种方式访问：直接访问或通过ESXi管理界面访问。两种方式的凭证窃取过程类似，在此不再重复。 如果可以直接访问虚拟机，则可能存在以下两种情况： 如果虚拟机与内部网络的其余部分没有足够的隔离，它可能作为在网络中横向移动的代理，导致无需对ESXi服务器发起攻击。 如果网络的唯一入口是一个可访问的、正确隔离的虚拟机，攻击者无法对网络进一步渗透，必须直接在ESXi虚拟机管理器级别上运行代码。攻击者必须掌控ESXi 虚拟机管理器，因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器，攻击者一般需要利用虚拟机逃逸漏洞。 实现虚拟机逃逸有两种方法：第一种是攻击虚拟机管理器虚拟化组件，比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限，即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞，并使用虚拟机向虚拟机管理器传输恶意网络数据包。 在大约40个可能通过虚拟化组件实现虚拟机逃逸的漏洞中，只有两个漏洞（CVE-2012-1517和CVE-2012-1516）针对旧版本的ESXi（3.5至4.1）中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备，如USB（CVE-2022-31705，CVE-2021-2    2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或SVGA（CVE-2020-3969，CVE-2020-3962）。 自ESXi 6.5版本引入VMX沙箱以来，利用ESXi虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用，如下所示： 攻击者通过第一个漏洞在内核级别上入侵虚拟机。 然后，攻击者通过第二个漏洞针对虚拟机内的设备，以在VMX进程中执行代码。 攻击者随后执行第三个漏洞利用，实现VMX沙箱的逃逸。 最后，攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。 截至目前，公开的这种漏洞链的概念验证代码不存在，有关这类漏洞的文档也很少。由于此类攻击的复杂性，只有高级的行动者，如国家级对手，可能具备所需的能力。 如何保护虚拟机集群？ CrowdStrike提供了五项重要建议，各组织应该实施这些措施，降低虚拟化管理器被攻击的概率或攻击影响。 避免直接访问ESXi主机。使用vSphere客户端管理vCenter服务器所辖ESXi主机。不要使用VMware主机客户端直接访问受管主机，也不要通过直接控制台用户界面更改受管主机。（注：这是VMware特定的建议。） 如果有必要直接访问ESXi主机，请使用具备多因素验证、经过加固的跳板服务器。ESXi访问应仅限于用于管理目的或特定权限目的的跳板服务器，该服务器具有完整的审计功能，并启用了多因素身份验证。应实施网络分段，确保只能从跳板服务器出发访问ESXi或vCenter的任何SSH、Web UI和API。此外，应禁用SSH访问，对任何启用SSH访问的操作发出警报并进行紧急调查。 确保vCenter不通过SSH或HTTP暴露在互联网上。CrowdStrike观察到对手使用有效帐户或利用RCE漏洞（例如CVE-2021-21985）获取对vCenter的初始访问权限。虽然VMware已经解决了这些漏洞，为了减轻风险，但这些服务不应暴露在互联网上。 确保ESXi数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份（如果可能，更频繁地备份）到离线存储提供商。勒索软件事件中，安全团队应具备从备份中恢复系统的能力，并防止备份本身被加密。 如果发现或怀疑备份正在进行加密，并且无法访问备份以终止恶意进程，可以物理断开ESXi主机的存储连接，甚至切断ESXi主机的电源。威胁行为者在获取访问权限后，通常会更改根密码，将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题，或丢失尚未写入后端存储的数据，但它将阻止勒索软件继续加密VMDK文件。关闭虚拟机客户机将无济于事，因为加密是在虚拟化管理器本身上进行的。ESXi的勒索软件通常具有关闭虚拟机客户机的功能，可以解锁磁盘文件并进行加密。 更多ESXi安全建议可在VMware网站上查阅。 结论 基于下列事实：各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境；VMware在企业虚拟化解决方案领域占据主导地位；安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike认为，攻击者很可能会继续针对基于VMware的虚拟化基础架构进行攻击。 凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响，攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是，VMware于2022年10月15日停止对ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再对这些产品进行安全更新。 因为虚拟化技术通常是组织IT基础架构中至关重要的一部分，定期应用安全更新并进行安全态势审查非常关键，即使这些过程会影响网络服务和组件的可用性也必须落实。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/TmmoaE4FigvR26rGbsl8mA 封面来源于网络，如有侵权请联系删除

近日，一个名为RA group的新勒索软件组织进入人们的视野，该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”，目前仍在迅速扩大其勒索活动的范围。 安全研究员Chetan Raghuprasad在与the Hacker News分享的一份报告中提到：到目前为止，该组织已经入侵了美国的三个组织和韩国的一个组织，涉及制造业、财富管理、保险提供商和制药等多个垂直行业。 RA勒索组织运营着一个信息泄露网站，他们向受害者进行双重勒索攻击，迫使他们支付赎金。 Raghuprasad解释称：RA集团使用的是定制赎金笔记，其中包括受害者的名字和下载泄露证据的唯一链接。如果受害者在三天内未与该组织联系，那他们就会直接泄露受害者的信息。 此外，该组织还采取了一些措施以避免通过硬编码列表加密系统文件和文件夹，从而允许受害者下载qTox聊天应用程序。受害者可通过赎金通知上提供的qTox ID与该组织取得联系。 RA Group与其他勒索软件的不同之处在于，他们会将信息托管在安全的TOR站点上，然后直接在他们的泄漏网站上出售受害者的泄露数据。 大约一周前，SentinelOne表示，现在有很多威胁行为者通过Babuk勒索软件代码开发出了十几种能够针对Linux系统的“衍生品”。同时，也有越来越多的黑客开始使用Babuk构建器来开发ESXi和Linux勒索软件，这已然成为了一个明显的趋势。 在过去一年中，采用Babuk源代码的其他勒索软件参与者还包括了AstraLocker和Nokoyawa。Cheerscrypt是另一种基于Babuk的勒索软件。此外，还有另外两种代号为Rancoz和BlackSuit的新型勒索软件，后者专门针对Windows和VMware ESXi服务器。 Cyble表示：这些不断更新升级的勒索软件，从侧面透露出了目前的威胁行为者们已经是一批具备先进的专业技能和敏捷性的人，他们都熟知目前各国实施的网络安全措施，且能够站在这些政策的对立面，定制“专属”勒索软件。 转自 Freebuf，原文链接：https://www.freebuf.com/news/366566.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员详细介绍了一个名为 RTM Locker的新兴网络犯罪团伙的策略，该团伙作为私营勒索软件即服务（RaaS）供应商，进行勒索攻击以获取非法利润。 网络安全公司Trellix在一份分享的报告中说：RTM 团伙有着严格的规则和商业化设置，要求附属机构保持活跃，这也显示了该组织有较高的成熟度。 RTM是ESET在2017年2月首次发现的，RTM起初在2015年是一个银行恶意软件，通过驱动下载、垃圾邮件和钓鱼邮件来针对俄罗斯的企业。此后，该组织的攻击链发展到在被攻击的主机上部署勒索软件的有效载荷。 2021年3月，该组织被认定为是一个勒索和敲诈活动的组织，部署了三重威胁，包括一个金融木马、合法的远程访问工具和一个名为Quoter的勒索软件。 该组织的一个关键特征是它故意避开可能引起人们关注的高知名度目标。因此，独联体国家以及停尸房、医院、新冠疫苗相关企业、关键基础设施、执法部门和其他知名公司都是该团伙的禁区。 RTM Locker恶意软件的构建受到严格的授权约束，禁止附属机构泄露样本，否则将面临被禁止的风险。在其他规则中，有一个条款规定，如果联盟成员在没有预先通知的情况下保持10天不活动，就会被锁定。 RTM像其他RaaS集团一样，使用敲诈技术迫使受害者付款。就其本身而言，该有效载荷能够提升权限，终止防病毒和备份服务，并在开始其加密程序之前删除影子副本。 它还被设计能够清空回收站以防止恢复，改变墙纸，擦除事件日志，并执行一个壳命令，作为最后一步自我删除。 这些发现表明，网络犯罪团伙将继续 采用新的战术和方法，以绕过、躲避研究人员的监控雷达。 转自 Freebuf，原文链接：https://www.freebuf.com/news/363586.html 封面来源于网络，如有侵权请联系删除

英国国家犯罪署（NCA）透露，他们创建了一个假的DDoS租赁网站，以渗透到地下的网络犯罪活动中，这是一个经典钓鱼执法的案例。 执法机构说：到目前为止，所有NCA运营的网站都被大约数千人访问，这些网站都伪装成可以提供网络攻击服务和工具的样式。然而，在用户注册后，他们的数据并没有被赋予网络犯罪工具的使用权，而是被调查人员整理出来。 这项工作是正在进行的名为Operation PowerOFF的国际联合行动的一部分，该行动与美国、荷兰、德国、波兰和欧洲刑警组织的当局合作，旨在瓦解全球范围内的犯罪性DDoS出租基础设施。 DDoS-for-hire（又名“Booter”或“Stresser”）服务将受感染设备网络的访问权限出租给其他犯罪分子，这些犯罪分子试图对网站发起分布式拒绝服务（DDoS）攻击并迫使它们离线。 这种非法平台提供一系列的会员选择，每月向客户收取10美元到2500美元不等的费用。 NCA表示，目前不会透露正在运营的网站数量，这样一来，计划在未来使用此类服务的个人将不得不考虑是否值得冒险。 当然，这并不是执法机构第一次用钓鱼执法的方式来打击数字领域的犯罪活动。2021年6月，美国联邦调查局（FBI）和澳大利亚联邦警察（AFP）透露，他们运行了一个名为ANoM的加密聊天服务近三年，拦截了全球犯罪团伙成员之间交流的信息约2700万条。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361802.html 封面来源于网络，如有侵权请联系删除

网络犯罪是一项蓬勃发展的业务。因此，像任何其他繁荣的市场一样，勒索软件集团或在线诈骗行动背后的主谋也需要工人。而且他们不仅仅是在寻找其他犯罪黑客。开发人员、管理员和设计师的需求量也很大。 正如网络安全市场正在争夺最好的人才一样，网络犯罪分子也在提供高薪和福利以吸引最优秀的人才。一些广告吹嘘熟练黑客的年薪高达120万美元。 根据网络安全公司卡巴斯基的新分析，开发人员似乎是网络犯罪生态系统中最抢手的。该公司的研究人员审查了2020年1月至2022年6月期间155个暗网论坛上发布的大约20万条与就业有关的信息。帖子的数量在2022年3月达到顶峰，可能是因为COVID-19相关的防疫措施影响和多个国家的收入减少。尽管如此，分析发现，招聘帖子–包括寻求就业和列出工作–每季度都超过了1万个。 其他需求职位包括攻击专家、反向工程师、测试人员、分析师、管理员和设计师。研究人员说，即使是最复杂的黑客团队仍然需要帮助。 并非所有的招聘信息都是从事非法工作的角色–事实上，一家”知名的俄罗斯银行”寻求招聘开发人员，而其他银行则寻求开发合法的IT学习课程的候选人–但即使是犯罪工作也有典型就业广告的那种平凡的感觉。研究人员说，测试任务很常见，包括加密文件、躲避反病毒检测以及总体上专业和在线的步骤。 描述候选人测试过程的清单。成功进入第四步的候选人将被雇用做全职工作，每周获得800至1500美元的报酬（图像来源于卡巴斯基）。 清单的其他常规部分对于普通的技术求职者来说是普通人很熟悉的，比如激励措施–“每一次成功的任务，你都会得到加薪和即时奖金”，例如推荐入职可以有额外奖金甚至是带薪休假。合适的候选人可以获得高薪，根据角色的不同，一般黑产雇员工资中位数在1300至4000美元之间。 一些安排似乎更加非正式：”想要长期合作，黑掉一些中国网站并为我转储数据库，让我们在xmpp上交谈。”一条信息写道，指的是一个广泛的互联网信息平台。 分析发现，一些寻求工作的人似乎只是需要钱，但对其他人来说，原因可能更难确定。无论哪种情况，寻求这种工作的人可能并不完全了解他们所涉及的对象。研究人员写道：”人们去暗网找工作可能有几个原因。许多人被对轻松赚钱和巨大经济利益的期望所吸引。大多数时候，这只是一种幻觉，实际上工资很少明显高于可以合法获得的工资。然而，由于对他们的工资不满意，合法经济中相当大比例的雇员辞去工作，在暗网市场上找到类似的工作。市场上的变化、裁员和减薪，也常常促使他们在网络犯罪网站上寻找工作。”     转自 cnBeta，原文链接：https://www.toutiao.com/article/7194671259689419323/ 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，来自纽约的37岁的男子John Telusma因在跨国网络犯罪组织运营的Infraud卡片门户上出售、使用被盗和受损信用卡、个人信息、财务信息而被判处四年有期徒刑。此外，该网络犯罪组织还有35人也因为相同的罪名被抓捕、判刑。 资料显示，Infraud Organization是一家基于互联网的网络犯罪企业，主要从事大规模收购、售卖和散播已被盗取的身份信息，被盗取密码的借记卡、信用卡、个人信息、财务和银行信息，计算机恶意软件等非法买卖。 2018年2月7日，法院提交的刑事起诉书详细解释了四年前每一位被告的具体信息。 根据法庭发布的文件，Telusma于2011年8月加入Infraud Organization，并一直参与该组织的网络犯罪行为，直至2017年上半年。他是 Infraud 门户网站中最多产、最活跃的供应商之一，曾大规模收购、售卖信用卡，并未其他成员提供“删除”和“兑现”服务。 其余部分在美国被判刑的欺诈成员如下： Infraud 联合创始人Sergey Medvedev——被判处 10 年监禁； 恶意软件开发者Valerian Chiochiu——被判处 10 年监禁； 核心成员 Arnaldo Sanchez Torteya — 被判 8 年监禁； 核心成员埃德加·罗哈斯——被判处八年徒刑； ATM撇渣器 Jose Gamboa — 被判 8 年监禁； 核心成员 Pius Wilson — 被判处7年徒刑。 大肆出售被盗的身份信息和财务信息 根据诉书中的内容，Infraud团体于2010年建立。在“我们信任诈骗”口号的宣扬之下，该集团指挥其成员中的贸易买手和潜在买家到各个自动售卖点去，为盗取身份信息、财务和银行信息、恶意软件和其他非法物品提供在线渠道。 在拉斯维加斯大陪审团恢复该团伙敲诈勒索阴谋罪和其他罪名的起诉后，联邦、内华达州、拉斯维加斯当地和全国各地执法部门的官员在全美和包括澳大利亚、英国、法国等在内的六个国家将13名嫌犯抓捕归案。 司法部代理助理检察长克罗南说：“今天的起诉和逮捕行动是司法部处理过的最严重的网络诈骗案件之一。” 据Infraud团伙的成员交代，该诈骗集团已导致用户、商家、金融机构等发生高达5.3亿美元的实际损失，他们计划要达到的诈骗金额甚至超过了22亿美元。 而犯罪分子想要加入Infraud Organization组织，都必须要得到Infraud管理员进行审查和批准，否则他们出售的“产品和服务”就被会管理员认为“低于标准”，并被下架。在组织内部，所有成员都以匿名的形式进行交流，以此逃避执法和现实世界对其欺诈、犯罪活动的影响。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/334686.html 封面来源于网络，如有侵权请联系删除