文章来源:https://securityaffairs.co
原文链接:
https://securityaffairs.co/wordpress/138362/apt/prestige-ransomware-linked-iridium.html
微软将针对乌克兰和波兰组织的威望勒索软件攻击与俄罗斯相关的威胁行为联系起来。
10月中旬,微软威胁情报中心(MSTIC)的研究人员发现了此前未被检测到的勒索软件,被追踪为威望勒索软件,用于攻击乌克兰和波兰的运输和相关物流行业的组织。
Prestige勒索软件于10月11日首次出现在威胁环境中,所有受害者在一小时内相继发生攻击。
这一行动的一个显着特点是,观察到威胁行为者试图将勒索软件部署到乌克兰企业网络中的情况并不常见。
这场行动的受害者与与俄罗斯有关的威胁参与者最近进行的行动具有共同的受害者特征。
在微软本周提供的最新信息中,MSTIC将这一行动归因于Iridium(又名桑德虫)网络间谍组织。
沙虫(又名BlackEnergy和TeleBots)自2000年以来一直活跃,它在俄罗斯GRU主要特殊技术中心(GTsST)的74455部队的控制下运行。
该组织也是NotPetya勒索软件的作者,该软件于2017年6月攻击了全球数百家公司,造成了价值数十亿美元的损失。
今年4月,沙虫以乌克兰的能源设施为目标,推出了一种新的Industroyer ICS恶意软件(INDUSTROYER2)和一种新版本的CaddyWiper雨刷。
据信,APT黑客组织是今年多起攻击的幕后黑手,包括对乌克兰能源基础设施的攻击,以及美国政府在4月份拆除的名为“独眼巨人”的永久性僵尸网络的部署。
从2022年8月开始,Record Future的研究人员观察到沙虫使用的指挥和控制(C2)基础设施的增加(乌克兰的CERT-UA跟踪为UAC-0113)。
研究人员观察到C2基础设施依赖于伪装成乌克兰电信服务提供商的动态DNS域。
微软对Iridium的认定基于法医证据,以及与俄罗斯有关联的APT组织在受害者学、TTP和基础设施方面的重叠。
威望运动可能会突显Iridium破坏性攻击计算的有节制的转变,表明直接向乌克兰供应或运输人道主义或军事援助的组织面临的风险增加。
更广泛地说,这可能意味着东欧组织面临的风险增加,俄罗斯政府可能认为这些组织正在提供与战争有关的支持。
MSTIC表示。
MSTIC研究人员观察到威胁参与者使用三种方法部署Prestige勒索软件:
-
方法1:将勒索软件有效负载复制到远程系统的ADMIN$共享中,并使用Impacket在目标系统上远程创建Windows计划任务以执行有效负载
-
方法2:将勒索软件有效负载复制到远程系统的ADMIN$共享中,并使用Impacket远程调用目标系统上的编码PowerShell命令来执行有效负载
-
方法3:将勒索软件有效负载复制到Active Directory域控制器,并使用默认域组策略对象部署到系统中
微软发布了一个妥协指标(ioc)和高级搜索查询检测威望勒索软件感染的列表。
转载侵删
原文已发知识星球。
想看的小伙伴长按识别下面的二维码可加入星球
文章评论