勒索软件团伙滥用 ISPsystem 虚拟机隐匿投递恶意载荷
HackerNews 编译,转载请注明出处: 勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机,大规模托管并分发恶意攻击载荷。 网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时,发现了该攻击手法。研究人员发现,攻击者使用的 Windows 虚拟机均带有相同主机名,推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。 深入调查后研究人员发现,该相同主机名还出现在多个勒索软件团伙的基础设施中,包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。 ISPsystem是一家正规软件公司,主营托管服务商专用控制面板开发,可用于虚拟服务器管理、操作系统维护等场景。VMmanager 是该公司旗下虚拟化管理平台,可为客户快速创建 Windows 或 Linux 虚拟机。 Sophos发现,VMmanager 的 Windows 默认模板每次部署时,都会复用相同的主机名及系统标识符。 部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商,正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机,将其用作命令与控制(C2)及恶意载荷投递基础设施。 这一行为本质是将恶意系统隐藏在数千台正常虚拟机中,既增加了攻击溯源难度,也让快速下架恶意节点成为泡影。 绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管,包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。 Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP,该服务商利用 VMmanager 规避检测,提供的虚拟专用服务器(VPS)及远程桌面(RDP)服务均不响应合法合规请求。 据Sophos统计,ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”,具体如下: · WIN-LIVFRVQFMKO · WIN-LIVFRVQFMKO · WIN-344VU98D3RU · WIN-J9D866ESIJ2 这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。 研究人员指出,尽管 ISPsystem VMmanager 是合法虚拟化管理平台,但因其 “成本低、准入门槛低、具备一站式部署能力”,对网络犯罪分子极具吸引力。 科技媒体 BleepingComputer 已联系 ISPsystem,询问其是否知晓 VM 模板遭大规模滥用及后续整改计划,但截至发稿时尚未收到回应。 消息来源:bleepingcomputer.com: 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
与俄罗斯相关的 Curly COMrades 组织借助恶意虚拟机开展数字间谍活动
HackerNews 编译,转载请注明出处: 研究人员发现了一场网络间谍活动,黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明,黑客正通过创新手段绕过常见的安全防御系统。 罗马尼亚网络安全公司比特梵德(Bitdefender)在周二的报告中称,该活动自 7 月起持续活跃,幕后威胁行为者为Curly COMrades组织,该组织被认为是为俄罗斯利益服务的。 今年早些时候,该组织被指针对格鲁吉亚的政府及司法机构,以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者,但表示调查是在格鲁吉亚国家计算机应急响应小组(CERT-GE)的协助下开展的。 报告显示,黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机,这种软件能让一台计算机模拟出多个独立系统的运行效果。 攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux(Alpine Linux)虚拟机。在该虚拟机内部,他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat,用于控制受感染系统并窃取数据。 比特梵德表示:“该虚拟机并未搭载大型攻击框架或渗透测试工具,而是一款轻量化植入程序,专为特定目的设计。” 这种方法让黑客得以绕过常见的威胁检测工具,这类工具通常仅监控 Windows 主操作系统,而非运行于其中的虚拟机。 格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器,为研究人员绘制攻击者的基础设施地图提供了帮助。 比特梵德指出,Curly COMrades 组织至少自 2024 年起开始活跃,其目标通常是 “处于地缘政治变革中的国家的关键机构”,且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限,并窃取用于间谍活动的凭证信息。 研究人员补充称,黑客严重依赖公开可用的开源工具,这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险,而非利用新型漏洞”。 格鲁吉亚和摩尔多瓦均为前苏联加盟共和国,仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传,试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。 格鲁吉亚也一直是莫斯科混合战术的针对对象,这些战术结合了军事施压、经济限制和宣传攻势,旨在削弱其国家机构,阻碍其民主与经济改革进程。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新的勒索软件被发现可以利用虚拟机发动攻击
据赛门铁克威胁猎手团队称,网络犯罪分子正在通过虚拟机运行越来越多的恶意载荷。Help Net Security调查了一次尝试性的勒索软件攻击,该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与记录的RagnarLocker攻击使用Windows XP的虚拟机不同,新的威胁似乎是运行Windows 7。 此外,根据赛门铁克威胁猎手团队的Dick O’Brien的说法,该虚拟机是通过一个恶意的可执行程序部署的,该程序在行动的侦察和横向移动阶段就已经被预先安装。 到目前为止,研究人员无法确定虚拟机中的恶意软件载荷是Mount Locker还是Conti勒索软件。后者在Endpoint安全软件被检测到,需要一个用户名和密码组合,这是以前Conti勒索软件活动的特征。 假设该恶意软件驻留在虚拟机的硬盘上,一旦操作系统被完全启动,恶意程序就可以跟随自动启动。可执行文件会检查主机是否是活动目录控制器,而在其他情况下,它采用俄罗斯键盘布局来识别,如果是的话就终止操作。 赛门铁克威胁猎手团队解释说:”一种可能的解释是,攻击者是一个同时拥有Conti和Mount Locker控制权限的恶意软件联盟团伙。他们可能试图在虚拟机上运行一个有效载荷(无论是Conti还是Mount Locker),当它判断无法工作时,选择在主机上保底运行Mount Locker。” 我们知道,大多数攻击者和勒索软件运营者喜欢使用合法的、非目的性的工具来加强他们的活动,同时尽可能长时间地保持不被发现。 (消息及封面来源:cnBeta)