自四月以来,数百万封网络钓鱼邮件通过Phorpiex僵尸网络发送,进行了大规模的LockBit Black勒索软件活动。
新泽西州网络安全和通信集成中心(NJCCIC)在周五警告称,攻击者使用包含可执行文件的ZIP附件来部署LockBit Black有效载荷,一旦被启动,这些文件将加密收件人的系统。
这些攻击中LockBit Black加密器可能是使用LockBit 3.0生成器构建的,该生成器由一位不满的开发者于2022年9月在推特上泄露。然而,这次活动被认为与实际的LockBit勒索软件操作没有任何关联。
这些带有“你的文件”和“你的照片”等主题的网络钓鱼邮件,用“Jenny Brown”或“Jenny Green”的别名从全球1500多个独立IP地址发送出去,地址包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。
攻击链始于收件人打开恶意的ZIP压缩附件并执行其中的二进制文件。
接着,此可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本并在受害者系统上执行。启动后,它将尝试窃取敏感数据、终止服务并加密文件。
自4月24日以来一直调查这些攻击事件的网络安全公司Proofpoint在周一表示,黑客针对全球各个行业的公司进行攻击。
尽管这种方法并不新鲜且缺乏其他网络攻击的复杂性,但发送大量邮件来传送恶意负载,并将勒索软件作为第一阶段负载使用,让这种方法在众多网络攻击中脱颖而出。
Proofpoint的安全研究人员表示:“2024年4月24日后约一周时间,Proofpoint观察到由Phorpiex僵尸网络促成的大规模活动,该网络每天发送数百万封信息来传送LockBit Black勒索软件。”
“这是Proofpoint研究人员首次观察到通过Phorphiex以如此高的效率传送LockBit Black勒索软件(又名LockBit 3.0)的样本。”
Phorpiex僵尸网络(也称为Trik)已经活跃了十多年。它从通过可移动USB存储设备和Skype或Windows Live Messenger聊天传播的蠕虫,演变为使用电子邮件垃圾邮件传送的由IRC控制的木马。
经过多年的活动和发展,Phorpiex僵尸网络逐渐壮大,控制了超过100万台感染设备。然而,其运营者在关闭Phorpiex基础设施后,尝试在黑客论坛上出售该恶意软件的源代码。
Phorpiex僵尸网络还被用来发送数百万封色情勒索邮件(每小时发送超过30,000封邮件),最近还使用了剪贴板劫持模块,将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。
在添加加密货币剪贴板劫持功能的一年内,Phorpiex的运营者劫持了969笔交易,盗取了3.64比特币(价值172,300美元)、55.87以太币(价值216,000美元)和价值55,000美元的ERC20代币。
为了防御推送勒索软件的网络钓鱼攻击,NJCCIC建议实施勒索软件风险缓解策略,并使用终端安全解决方案和电子邮件过滤解决方案(如垃圾邮件过滤器)来阻止潜在的恶意消息传播。
消息来源:bleepingcomputer,译者:lune;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容