基于 Python 的恶意软件助力 RansomHub 勒索软件利用网络漏洞

网络安全研究人员详细披露了一起攻击事件，攻击者利用基于Python的后门程序持续访问受感染终端，随后利用这一访问权限在整个目标网络中部署RansomHub勒索软件。

据GuidePoint Security称，攻击者最初通过一款名为SocGholish（又称FakeUpdates）的JavaScript恶意软件获得访问权限，该软件通过诱骗用户下载假冒的网页浏览器更新进行传播。

此类攻击通常涉及利用黑帽搜索引擎优化（SEO）技术，将受害者重定向到看似合法但已被感染的网站。SocGholish执行后，会与攻击者控制的服务器建立联系，以获取其他有效载荷。

网络安全

去年，SocGholish攻击活动针对依赖过时版本SEO插件（如Yoast（CVE-2024-4984，CVSS评分：6.4）和Rank Math PRO（CVE-2024-3665，CVSS评分：6.4））的WordPress网站进行初步渗透。

在GuidePoint Security调查的事件中，SocGholish感染约20分钟后，基于Python的后门程序被植入。攻击者随后通过RDP会话在局域网内横向移动，将该后门程序传播至同一网络中的其他计算机。

安全研究员Andrew Nelson表示：“该脚本作为反向代理，连接到硬编码的IP地址。脚本通过初始命令与控制（C2）握手后，将建立一个主要基于SOCKS5协议的隧道。”

“该隧道允许攻击者利用受害系统作为代理，在受感染网络中横向移动。”

自2023年12月初以来，该Python脚本（ReliaQuest于2024年2月记录了其早期版本）已在野外被检测到，并进行了旨在改进隐匿技术的“表面级更改”。

GuidePoint还指出，解码后的脚本既精致又编写良好，这表明恶意软件作者要么对维护高度可读和可测试的Python代码一丝不苟，要么依赖于人工智能（AI）工具来辅助编码。

Nelson补充道：“除了局部变量隐匿外，代码被分解为具有高度描述性方法名称和变量的不同类。每个方法还具有高度错误处理和详细的调试信息。”

基于Python的后门程序远非勒索软件攻击中检测到的唯一前驱程序。本月早些时候，Halcyon指出，在勒索软件部署之前部署的其他工具包括：

• 使用EDRSilencer和Backstab禁用端点检测和响应（EDR）解决方案
• 使用LaZagne窃取凭据
  ——使用MailBruter暴力破解凭据以攻击电子邮件账户
  ——使用Sirefef和Mediyes维持隐蔽访问并传递其他有效载荷

此外，勒索软件攻击活动还瞄准了亚马逊S3存储桶，利用亚马逊网络服务（AWS）的服务器端加密（客户提供的密钥）（SSE-C）对受害者的数据进行加密。这一活动被归因于名为Codefinger的攻击者。

除了在没有其生成的密钥的情况下阻止恢复外，这些攻击还采用紧急勒索策略，通过S3对象生命周期管理API将文件标记为在七天内删除，以迫使受害者付款。

网络安全

Halcyon表示：“Codefinger滥用已公开的具有S3对象读写权限的AWS密钥。通过利用AWS原生服务，他们在无需合作的情况下实现了既安全又无法恢复的加密。”

与此同时，SlashNext表示，其见证了模仿Black Basta勒索软件团伙电子邮件轰炸技术的“快速”钓鱼活动激增，向受害者收件箱发送超过1100封与新闻通讯或付款通知相关的合法邮件。

该公司称：“当人们感到不知所措时，攻击者会通过电话或Microsoft Teams消息乘虚而入，冒充公司技术支持人员提供简单解决方案。”

“他们自信地交谈以获得信任，指示用户安装TeamViewer或AnyDesk等远程访问软件。一旦软件安装在设备上，攻击者便悄然潜入。从那里，他们可以传播有害程序或潜入网络的其他区域，为直接访问敏感数据铺平道路。”