新兴的跨平台BianLian勒索软件的运营商本月增加了他们的命令和控制(C2)基础设施,这一发展表明该组织的运营节奏正在加快。2022年7月中旬首次发现以Go编程语言编写的变连勒索病毒,截至9月1日,已有15个受害组织认领。值得注意的是,这个新兴的双重勒索勒索软件家族与同名的Android银行木马无关,后者主要针对移动银行和加密货币应用程序窃取敏感信息。安全研究人员BenArmstrong、LaurenPearce、BradPittack和DannyQuist表示,“勒索软件对受害者网络的初始访问是通过成功利用ProxyShellMicrosoftExchangeServer漏洞实现的,该漏洞用于投放webshell或ngrok有效载荷。变连还针对SonicWallVPN设备,这是勒索软件组织的另一个常见目标。”与另一种名为“Agenda”的新型Golang恶意软件不同,BianLian攻击者从最初访问到实施加密驻留时间可持续长达六周,这一持续时间远高于2021年报告的15天入侵者驻留时间中位数。除了利用生活-用于网络分析和横向移动的离地(LotL)技术,该小组部署了自定义植入程序作为维持对网络的持久访问的替代方法。据研究人员称,后门的主要目标是从中检索任意有效负载远程服务器,将它们加载到内存中,然后执行它们。BianLian与Agenda类似,能够在Windows安全模式下启动服务器以执行其文件加密恶意软件,同时保持系统上安装的安全解决方案不被检测到。采取的其他步骤消除安全障碍,包括删除卷影副本、擦除备份以及通过Windows远程管理(WinRM)和PowerShe运行其Golang加密模块所有脚本。据报道,已知最早的BianLian相关C2服务器于2021年12月出现在互联网上。但此后,C2基础设施经历了“令人不安的扩张”,目前活跃IP地址已超过30个。据网络安全公司Cyble称,本月早些时候详细介绍了勒索软件的作案手法,勒索软件针对媒体、银行、能源、制造、教育、医疗保健和专业服务等多个行业的组织。大多数组织位于北美、英国和澳大利亚。BianLian是网络犯罪分子继续使用跳跃策略来避免被发现的另一个迹象。它还增加了使用Go作为底层语言的日益增长的威胁,使攻击者能够在单个代码库中进行快速更改,然后可以为多个平台编译。研究人员补充说,BianLian已经证明自己擅长使用离地(LOtL)方法横向移动并根据他们在网络中遇到的防御来调整操作。原文链接:https://thehackernews.com/2022/09/researchers-detail-emerging-cross.html
