HackerNews 编译，转载请注明出处： 黑客组织Scattered Spider（又称0ktapus、Muddled Libra、Octo Tempest和UNC3944）正针对北美零售、航空及运输行业的VMware ESXi虚拟机管理程序发起攻击。谷歌旗下Mandiant团队指出，该组织主要采用欺骗性电话联系IT服务台的社会工程手段，而非利用软件漏洞实施入侵。 Scattered Spider采用“利用合法工具”（Living-off-the-Land）策略：通过社会工程获取访问权限后，滥用Active Directory权限渗透VMware vSphere环境，窃取数据并从虚拟机管理程序层部署勒索软件。此方式可绕过端点检测与响应（EDR）工具的防护，几乎不留入侵痕迹。 该策略高效的核心原因在于：虚拟中心设备（VCSA）与ESXi虚拟机管理程序无法运行传统EDR代理，导致虚拟化层存在严重的监控盲区。 该犯罪团伙的攻击链包含五个精密阶段： 第一阶段：社会工程突破 UNC3944利用个人信息（如社保号、出生日期）伪装成员工致电IT服务台，请求重置用户及特权管理员账户密码。此策略绕过传统技术攻击，直接获取内部访问权限。入侵后执行双路径侦查： A路径：扫描SharePoint等内部文档定位“vSphere Admins”等高权限AD组 B路径：窃取密码管理器或特权访问管理（PAM）工具中的凭证 锁定特权用户后，二次致电冒充目标获取完全管理员权限，为攻击VMware基础设施奠定基础。防御需监控密码重置行为、异常AD组变更及文件访问，关键措施包括禁止电话渠道的特权账户密码重置，并强化敏感系统与文档保护。 第二阶段：vCenter接管 获取AD特权凭证后，攻击者登录vCenter图形界面，重启VCSA虚拟机修改GRUB获取root shell权限。随后重置root密码、启用SSH服务，并部署合法远程工具Teleport建立持久化加密C2通道。此隐蔽控制手段得以成功，源于vCenter默认信任AD认证且缺乏多因素验证（MFA）机制。 第三阶段：离线凭证窃取 攻击者启用ESXi主机SSH服务，强制关闭域控制器虚拟机，挂载其虚拟磁盘至孤立虚拟机，提取NTDS.dit文件。数据通过Teleport通道外泄。此隐蔽方法规避EDR检测及网络分段防护。关键防御包括启用虚拟机加密、清理未使用虚拟机、强化ESXi访问控制，并开启远程审计日志。 第四阶段：备份系统破坏 在部署勒索软件前，攻击者滥用域管理员权限或向AD添加”Veeam Administrators”组成员，删除备份任务及虚拟机快照，蓄意破坏恢复能力。 第五阶段：超高速勒索攻击 通过ESXi主机SSH上传勒索软件，强制关闭所有虚拟机并加密虚拟磁盘文件。此操作完全绕过虚拟机内部安全防护。 谷歌威胁情报小组（GTIG）在报告中总结：“防御UNC3944的攻击策略需根本性转变——从依赖EDR威胁狩猎转向主动式基础设施核心防护。该威胁与传统Windows勒索软件存在两大差异：速度与隐蔽性。传统攻击者可能耗费数日甚至数周进行侦查，而UNC3944以极端速度行动；从初始入侵到数据外泄再到最终勒索部署，全程可在短短数小时内完成。这种速度与极少的取证痕迹相结合，要求企业不仅要识别异常，更需实时拦截可疑行为模式，方能阻止全面入侵。”       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

多个恶意黑客团伙利用2021年9月Babuk（又名Babk或Babyk）勒索软件泄露的源代码，构建了多达9个针对VMware ESXi系统的不同勒索软件家族。 美国安全厂商SentinelOne公司的研究员Alex Delamotte表示，“这些变体在2022年下半年至2023年上半年开始出现，表明对Babuk源代码的利用呈现出上升趋势。” “在泄露源代码的帮助下，即使恶意黑客缺乏构建攻击程序的专业知识，也能对Linux系统构成威胁。” 许多大大小小的网络犯罪团伙都将目光投向ESXi管理程序。自今年年初以来，已经出现至少三种不同的勒索软件变种——Cylance、Rorschach（又名BabLock）和RTM Locker等，它们都以泄露的Babuk源代码为基础。 图：Babuk默认展示的赎金消息 SentinelOne最新分析表明，如今这种现象已经愈发普遍，Conti和REvil（又名REvix）等黑客团伙也开始利用Babuk源代码开发更多ESXi勒索软件。 其他将Babuk功能移植进自身代码的勒索软件家族还包括LOCK4、DATAF、Mario、Play和Babuk 2023（又名XVGV）等。 尽管出现了明显的趋势，但SentinelOne公司表示，它没有观察到Babuk同ALPHV、Black Basta、Hive及LockBit的ESXi勒索软件间存在相似之处。该公司还发现，ESXiArgs和Babuk之间同样“几乎没有相似之处”，表明之前的归因可能有误。 Delamotte解释道，“随着越来越多ESXi勒索软件采用Babuk源代码，恶意黑客们有可能会转向该组织基于Go语言开发的NAS勒索软件。在黑客群体之间，Go语言目前仍是个小众选项，但其接受程度正在不断增加。” 这一趋势始于Royal勒索软件的幕后团伙（疑似前Conti成员）扩展攻击工具库，他们曾将针对Linux和ESXi环境的ELF变体纳入自己的武器储备。 Palo Alto Networks旗下安全部门Unit 42发布文章也指出，“ELF变体与Windows变体非常相似，样本没有使用任何混淆技术。包括RSA公钥和赎金记录在内的所有字符串，均以明文形式存储。” Royakl勒索软件攻击会从各种初始访问向量（如回调钓鱼、BATLOADER感染或窃取凭证等）起步，随后投放Cobalt Strike Beacon以预备执行勒索软件。 自2022年9月出现以来，Royal勒索软件已在其泄露网站上宣称对157家组织的事件负责，其中大多数攻击针对美国、加拿大和德国的制造、零售、法律服务、教育、建筑及医疗服务组织。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/x6-cRbKCbM9xBXc5Wfrk_Q 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站5月25日消息，一种名为“Cheers”的新型勒索软件出现在网络犯罪领域，目标是针对易受攻击的 VMware ESXi 服务器。 VMware ESXi 是全球大型组织普遍使用的虚拟化平台，因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组，包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现，并将新变种称为“Cheerscrypt”。 当Cheers攻击VMware ESXi 服务器时，会启动加密器，它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭： esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’) 在加密文件时，Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名，但文件重命名发生在加密之前，所以如果重命名文件的访问权限被拒绝，加密会失败，但文件仍然会被重命名。 加密方案使用一对公钥和私钥来派生一个秘密（SOSEMANUK 流密码）密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。 Cheers 加密例程 在扫描文件夹以查找要加密的文件时，勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点，但数据泄露站点 Onion URL 是静态的。 根据 Bleeping Computer 的研究，Cheers似乎于 2022 年 3 月开始运作，虽然迄今为止只发现了 Linux 勒索软件版本，但不排除也存在针对Windows系统的变体。 Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站，该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露，并将被盗数据用于双重勒索攻击。 Cheer 的数据泄露 Onion 网站 通过观察，这些受害者都是比较大型的企业组织，似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求。 根据调查赎金记录，攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付，从而换取有效的解密密钥。如果受害者不支付赎金，攻击者表示他们会将被盗数据出售给其他同行，给受害者带来更大威胁和损失。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/334318.html 封面来源于网络，如有侵权请联系删除