安全研究人员发现,受LockBit勒索软件攻击的美国地方政府机构在其网络中被勒索软件团伙隐藏了至少5次,之后才部署了有效载荷moon。从受感染机器中检索到的日志显示,两个威胁行为者已经破坏了它们,进行了侦察和远程访问操作。尽管攻击者试图通过删除事件日志来抹去他们的踪迹,但威胁分析人员仍然在文件碎片中发现了攻击者入侵的痕迹。该事件始于该机构的一名技术人员在允许攻击者闯入之前禁用了系统的保护。据网络安全公司Sophos的研究人员称,攻击者通过配置错误的防火墙上的开放远程桌面(RDP)端口访问网络,然后使用Chrome下载攻击所需的工具。该工具包包括用于暴力破解、扫描、商业VPN的实用程序,以及允许文件管理和命令执行的免费工具,例如PsExec、FileZilla、ProcessExplorer和GMER。此外,黑客还使用了远程桌面和远程管理软件,例如ScreenConnect,以及后来在攻击中使用的AnyDesk。在攻击的第一阶段,攻击者很低调,只是窃取了一些有价值的帐户凭据,以便他们以后可以窃取更重要的东西。一段时间后,他们窃取了也拥有域管理员权限的本地服务器管理员的凭据,因此他们可以在其他系统上创建具有管理员权限的新帐户。在攻击的第二阶段,经过五个月的不活动后,一些更老练的攻击者接手了,Sophos认为更高级别的攻击者对该操作负责。新阶段从安装PostExploitation工具开始,例如Mimikatz和LaZagne,这些工具用于从受感染的服务器中提取凭据数据包。同时,攻击者通过擦除日志和通过远程命令执行系统重启来让他们的存在更加明显,还通过使60台服务器离线和分段网络来提醒管理员。在此期间犯下的第二个错误是禁用端点安全性。至此,双方已展开公开对抗的措施和反制措施。Sophos在其发布的报告中表示,在攻击的第一天,这些威胁行为者采取了重大行动,几乎在多个敏感服务器上横向运行AdvancedIPScanner。在短短几分钟内,攻击者获得了大量敏感人员的访问权限和购买的文件。部分网络已经被LockBit加密,尽管Sophos加入了响应并关闭了为攻击者提供远程访问的服务器。然而,在某些机器上,虽然文件被重命名为带有LockBit后缀,但它们并未加密,因此恢复它们只是简单地逆转了重命名操作。研究人员表示,实施多因素身份验证(MFA)保护会有所不同,因为它可以防止黑客自由移动或至少显着阻碍他们在受感染网络上的行动。另一个可以阻止威胁行为者的关键安全功能是阻止远程访问RDP端口的防火墙规则。最后,这个案例突出了维护和事件响应错误的问题,以及即使在紧急情况下也需要遵循安全检查表。参考来源:https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months/
