麒麟勒索软件结合 Linux 负载与 BYOVD 漏洞混合攻击

HackerNews 编译，转载请注明出处：

自2025年初以来，麒麟勒索软件组织每月声称入侵超过40名受害者，其数据泄露网站上的帖子数量在6月份达到了100例的高峰。

根据思科Talos汇编的数据，美国、加拿大、英国、法国和德国是受麒麟影响最严重的国家。这些攻击主要针对制造业（23%）、专业和科学服务（18%）以及批发贸易（10%）等领域。

麒麟附属组织发起的攻击可能利用了暗网上泄露的管理凭证，通过VPN接口进行初始访问，随后对域控制器和成功入侵的端点执行RDP连接。

在下一阶段，攻击者进行了系统侦察和网络发现操作以绘制基础设施地图，并执行了Mimikatz、WebBrowserPassView.exe、BypassCredGuard.exe和SharpDecryptPwd等工具，以促进从各种应用程序中获取凭证，并使用Visual Basic脚本将数据外泄到外部SMTP服务器。

Talos表示："通过Mimikatz执行的命令针对一系列敏感数据和系统功能，包括清除Windows事件日志、启用SeDebugPrivilege、从Chrome的SQLite数据库提取保存的密码、恢复之前登录的凭证，以及获取与RDP、SSH和Citrix相关的凭证和配置数据。"

进一步分析发现，威胁行为者使用mspaint.exe、notepad.exe和iexplore.exe来检查文件中的敏感信息，以及使用名为Cyberduck的合法工具将感兴趣的文件传输到远程服务器，同时掩盖恶意活动。

研究发现，被盗凭证使得攻击者能够进行权限提升和横向移动，他们滥用提升后的访问权限来安装多种远程监控和管理（RMM）工具，例如AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist和ScreenConnect。Talos表示无法确定这些程序是否用于横向移动。

为了规避检测，该攻击链包括执行PowerShell命令来禁用AMSI、关闭TLS证书验证并启用Restricted Admin，此外还运行dark-kill和HRSword等工具来终止安全软件[citation:1。主机上还部署了Cobalt Strike和SystemBC以实现持久远程访问。

感染的最终阶段是启动麒麟勒索软件，该软件会加密文件并在每个加密文件夹中投放赎金记录，但在之前会清除事件日志并删除由Windows卷影复制服务（VSS）维护的所有卷影副本。

这一发现与一起复杂的麒麟攻击事件相吻合，该攻击将其Linux勒索软件变体部署在Windows系统上，并将其与合法的IT工具和自带易受攻击驱动（BYOVD）技术结合使用，以绕过安全屏障。

趋势科技表示："攻击者滥用了合法工具，特别是通过Atera Networks的远程监控和管理（RMM）平台安装AnyDesk，并使用ScreenConnect执行命令。他们滥用Splashtop来最终执行勒索软件。"

"他们使用专门的凭证提取工具专门针对Veeam备份基础设施，在部署勒索软件有效负载之前，系统地从多个备份数据库获取凭证，以破坏组织的灾难恢复能力。"

除了使用有效账户入侵目标网络外，部分攻击还采用了鱼叉式网络钓鱼和托管在Cloudflare R2基础设施上的ClickFix式虚假CAPTCHA页面，来触发恶意有效负载的执行。据评估，这些页面会投放获取初始访问权限所必需的信息窃取程序以收集凭证。

攻击者采取的一些关键步骤如下：

• 部署SOCKS代理DLL以促进远程访问和命令执行

• 滥用ScreenConnect的远程管理功能来执行发现命令，并运行网络扫描工具以识别潜在的横向移动目标

• 针对Veeam备份基础设施以获取凭证

• 使用"eskle.sys"驱动程序作为BYOVD攻击的一部分来禁用安全解决方案、终止进程并逃避检测

• 部署PuTTY SSH客户端以促进向Linux系统的横向移动

• 使用跨多个系统目录的SOCKS代理实例，通过COROXY后门混淆命令与控制（C2）流量

• 使用WinSCP安全传输Linux勒索软件二进制文件到Windows系统

• 使用Splashtop Remote的管理服务（SRManager.exe）直接在Windows系统上执行Linux勒索软件二进制文件

"更新的样本加入了Nutanix AHV检测功能，将目标扩展至超融合基础设施平台。这证明了威胁行为者除了传统的VMware部署之外，也对现代企业虚拟化环境的适应。"

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文