亚洲国产AV一区二区三区久久_乱人妻中文字幕视频_91麻豆精品国产一级_精品国产欧美另类一区

威脅搜尋和情報(bào)公司 Group-IB 的研究人員檢測(cè)到一個(gè)名為 OldGremlin 的勒索軟件團(tuán)伙發(fā)起的一次成功的攻擊。

Group-IB是一家總部位于新加坡的全球威脅搜尋和情報(bào)公司，已檢測(cè)到代號(hào)為OldGremlin的勒索軟件組織的成功攻擊。自三月以來，攻擊者一直在嘗試對(duì)俄羅斯的醫(yī)學(xué)實(shí)驗(yàn)室，銀行，制造商和軟件開發(fā)商的大型公司網(wǎng)絡(luò)進(jìn)行多階段攻擊。操作員使用一套定制工具，其最終目標(biāo)是對(duì)受感染系統(tǒng)中的文件進(jìn)行加密，并以大約50,000美元的贖金將其保存。

據(jù) Group-IB 團(tuán)隊(duì)所知，對(duì) OldGremlin 的第一次成功攻擊已于 8 月被發(fā)現(xiàn)。Group-IB 威脅情報(bào)小組也收集了早在今年春天的活動(dòng)的證據(jù)。迄今為止，該組織只針對(duì)俄羅斯公司，這對(duì)于許多講俄語的對(duì)手（例如 Silence 和 Cobalt）在其犯罪之路開始時(shí)都是典型的。這些團(tuán)體以俄羅斯為試驗(yàn)場(chǎng)，然后轉(zhuǎn)向其他地區(qū)，與受害者國家的警察保持距離，減少被關(guān)進(jìn)監(jiān)獄的機(jī)會(huì)。

未被請(qǐng)求的發(fā)票

OldGremlin作為攻擊的初始媒介，使用了魚叉式網(wǎng)絡(luò)釣魚電子郵件，并且該組織采用了創(chuàng)新的方法。特別是，他們利用了實(shí)際發(fā)件人的姓名，在某些情況下，分幾個(gè)階段發(fā)送了電子郵件，使受害者認(rèn)為他們正在安排對(duì)俄羅斯一本知名商業(yè)報(bào)紙的記者進(jìn)行采訪。在其他情況下，該組織在白俄羅斯的網(wǎng)絡(luò)釣魚電子郵件和反政府集會(huì)中使用了COVID-19的主題。

據(jù) Group-IB 威脅情報(bào)小組所知，最近一次成功的攻擊發(fā)生在 8 月份，當(dāng)時(shí) OldGremlin 的目標(biāo)是一個(gè)在全國運(yùn)行的臨床診斷實(shí)驗(yàn)室。對(duì)事件的分析表明，勒索軟件攻擊始于代表俄羅斯主要媒體控股公司發(fā)送的帶有 “發(fā)票” 主題的網(wǎng)絡(luò)釣魚電子郵件。在郵件中，OldGremlin 告知接收者他們無法聯(lián)系受害人的同事，突顯了支付賬單的緊迫性，該鏈接已包含在文本正文中。通過單擊鏈接，受害者下載了一個(gè) ZIP 歸檔文件，其中包含一個(gè)獨(dú)特的自定義后門，稱為 TinyNode。后門程序在受感染的計(jì)算機(jī)上下載并安裝其他惡意軟件。

然后，網(wǎng)絡(luò)罪犯使用在TinyNode的幫助下獲得的對(duì)受害者計(jì)算機(jī)的遠(yuǎn)程訪問作為網(wǎng)絡(luò)調(diào)查，收集數(shù)據(jù)并在受害者網(wǎng)絡(luò)中橫向移動(dòng)的立足點(diǎn)。作為后期開發(fā)活動(dòng)的一部分，OldGremlin使用Cobalt Strike進(jìn)行橫向移動(dòng)并為域管理員獲取身份驗(yàn)證數(shù)據(jù)。

攻擊開始幾周后，網(wǎng)絡(luò)罪犯刪除了陵水服務(wù)器備份，然后借助 OldGremlin 的創(chuàng)意 TinyCryptor 勒索軟件（aka decr1pt）加密了受害者的網(wǎng)絡(luò)。當(dāng)公司的區(qū)域分支機(jī)構(gòu)的工作癱瘓時(shí)，他們要求大約 50,000 美元的加密貨幣。作為聯(lián)系電子郵件，威脅參與者提供了在 ProtonMail 中注冊(cè)的電子郵件。

最新的網(wǎng)絡(luò)釣魚

IB小組的威脅情報(bào)專家還檢測(cè)到該小組進(jìn)行的其他網(wǎng)絡(luò)釣魚活動(dòng)，其中第一次是從3月下旬到4月初。當(dāng)時(shí)，該團(tuán)隊(duì)從模仿俄羅斯小額信貸組織的電子郵件向金融組織發(fā)送了電子郵件，為收件人提供了有關(guān)在COVID-19期間如何組織安全遠(yuǎn)程工作的指南。這是OldGremlin首次使用其其他自定義后門– TinyPosh，它允許攻擊者從其C2下載其他模塊。為了隱藏其C＆C陵水服務(wù)器，OldGremlin轉(zhuǎn)向了CloudFlare Workers陵水服務(wù)器。

在上述惡意郵件發(fā)生兩周后，為了趕進(jìn)度，OldGremlin 發(fā)出了主題為 “大流行期間的全俄羅斯銀行和金融部門研究” 的電子郵件，據(jù)稱是來自一位現(xiàn)實(shí)生活中的記者，他擁有一家俄羅斯大型媒體。發(fā)送者隨后要求進(jìn)行在線面試，并按日程安排，并通知他們面試的問題已上傳至云平臺(tái)。就像他們的第一次活動(dòng)一樣，這個(gè)鏈接下載了一個(gè)定制的 TinyPosh 木馬程序。

圖 1 代表白俄羅斯工廠發(fā)送的網(wǎng)絡(luò)釣魚電子郵件

CERT-GIB 在 8 月 19 日發(fā)現(xiàn)了 OldGremlin 的另一輪網(wǎng)絡(luò)釣魚電子郵件，當(dāng)時(shí)該組織發(fā)出利用白俄羅斯抗議活動(dòng)的郵件。據(jù)稱來 Minsk Tractor 工廠首席執(zhí)行官的電子郵件告知其合作伙伴，該企業(yè)因參與反政府抗議活動(dòng)而受到該國檢察院的調(diào)查，并要求他們發(fā)送丟失的文件。據(jù)報(bào)道，必要文件的列表已附加到電子郵件中，試圖將其下載，但是讓 TinyPosh 進(jìn)入了用戶的計(jì)算機(jī)。在 5 月和 8 月之間，IB 小組發(fā)現(xiàn)了該小組進(jìn)行的 9 項(xiàng)運(yùn)動(dòng)。

Group-IB高級(jí)數(shù)字取證分析師Oleg Skulkin評(píng)論道：“ OldGremlin與其他講俄語的威脅行為者之間的區(qū)別在于，他們不害怕在俄羅斯工作*。 *”這表明攻擊者必須先保持沉默，然后再調(diào)整自己的技術(shù)以利用自己國家的優(yōu)勢(shì)，然后走向全球，例如Silence和Cobalt，或者它們是俄羅斯一些鄰國的代表，這些鄰國各國對(duì)俄羅斯具有強(qiáng)大的指揮權(quán)。全球緊張局勢(shì)在中國，網(wǎng)絡(luò)犯罪分子已經(jīng)學(xué)會(huì)操縱政治議程，這使我們有理由暗示，攻擊者可能來自與俄羅斯有爭(zhēng)議或關(guān)系薄弱的后蘇聯(lián)國家?！?br/>
盡管勒索軟件運(yùn)營商最近展示了這種病毒，但仍可以采取許多措施來抵御勒索軟件攻擊。其中包括使用多因素身份驗(yàn)證，用于通過 RDP 訪問的帳戶的復(fù)雜密碼以及定期更改密碼，限制可用于建立外部 RDP 連接的 IP 地址列表等。相關(guān)威脅情報(bào)和主動(dòng)方法在建立彈性基礎(chǔ)架構(gòu)中，應(yīng)對(duì)威脅搜尋至關(guān)重要。實(shí)施 Group-IB 威脅檢測(cè)系統(tǒng)可以在網(wǎng)絡(luò)和主機(jī)級(jí)別上尋求高級(jí)。www.group-ib.com/blog/oldgremlin 上提供了對(duì) OldGremlin 的運(yùn)營以及 IOC 的技術(shù)分析。

關(guān)于 IB 集團(tuán)

Group-IB 是一家總部位于新加坡的解決方案提供商，旨在檢測(cè)和預(yù)防網(wǎng)絡(luò)攻擊和在線欺詐。該公司還專門從事備受矚目的網(wǎng)絡(luò)調(diào)查和 IP 保護(hù)服務(wù)。

IB 集團(tuán)是國際刑警組織（Europol）的合作伙伴，并被 OSCE 推薦為網(wǎng)絡(luò)安全解決方案提供商。

以上文章部分內(nèi)容采集于網(wǎng)絡(luò)，如有侵權(quán)請(qǐng)聯(lián)系創(chuàng)一網(wǎng)客服處理，謝謝！