微软报告称,新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中,所有受害者在一小时内相互攻击。
该活动的一个显著特点是,很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出,该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。
微软威胁情报中心 (MSTIC) 发布的报告中写道:“该活动与最近与俄罗斯国家相关的活动,特别是在受影响的地区和国家,并与FoxBlade恶意软件(也称为HermeticWiper)的先前受害者重叠”。
HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器,其恶意代码被用于袭击乌克兰数百台机器的攻击。
微软注意到,该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击,这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。
MSTIC 尚未将这些攻击归因于已知的威胁组,同时,它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前, 使用以下两个远程执行使用程序观察了威胁参与者:
- RemoteExec – 一种用于无代理远程代码执行的商用工具
- Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案 DEV-0960 在一些攻击中使用以下工具来访问高权限凭证:
- winPEAS – 在 Windows 上执行权限提升的开源脚本集合
- comsvcs.dll – 用于转储 LSASS 进程的内存并窃取凭据
- ntdsutil.exe – 用于备份 Active Directory 数据库,可能供以后使用凭据
“在所有观察到的部署中,攻击者已经获得了对域管理员等高权限凭证的访问权限,以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量,但在某些情况下,攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。”
发表评论
您还未登录,请先登录。
登录