今天小編分享的互聯網經驗:新型惡意軟體猛攻 4000 多家 ISP,從而實現遠程入侵,歡迎閱讀。
近期,Splunk 威脅研究團隊發現了一起大規模惡意軟體攻擊活動,4000 多家互聯網服務提供商(ISP)深受其害,黑客借此獲得了關鍵基礎設施的遠程訪問權限。種種迹象表明,此次攻擊或源自東歐,攻擊者運用了暴力攻擊手段、植入加密挖掘負載,并采用了先進的規避技術。
攻擊概述
該惡意軟體專門針對 ISP 系統中存在的弱憑證,通過暴力破解的方式強行滲透進入。一旦成功潛入系統,攻擊者便迅速部署一系列惡意二進制檔案,像 mig.rdp.exe、x64.exe 和 migrate.exe 等。這些檔案一方面執行加密挖掘操作,利用受害系統的計算資源謀取利益;另一方面,負責竊取敏感信息。
這些惡意有效載荷具備多種破壞能力,它們能夠禁用系統的安全功能,通過命令和控制(C2)伺服器(其中包括 Telegram 機器人)将竊取的數據洩露出去,并且能夠在受感染的網絡中尋找并攻擊其他目标。在受感染網絡中橫向移動時,該惡意軟體主要借助 Windows 遠程管理(WINRM)服務。它運用編碼的 PowerShell 腳本,不僅可以禁用防病毒保護,終止其他競争的加密礦工程式,還能在受感染的系統上建立起長期的控制權,同時修改目錄權限,限制用戶訪問,防止自身檔案被發現。
啟用目錄的繼承權限
技術細節
此次惡意軟體活動采用自解壓 RAR 檔案(SFX)的方式,極大地簡化了部署過程。以 mig.rdp.exe 有效載荷為例,它會釋放出多個檔案,其中包含批處理腳本(ru.bat、st.bat)和可執行檔案(migrate.exe)。這些檔案會禁用 Windows Defender 的實時監控功能,并添加惡意例外,以此躲避安全軟體的檢測。另一個組件 MicrosoftPrt.exe 則充當剪貼板劫持程式,專門針對比特币(BTC)、以太坊(ETH)、萊特币(LTC)等加密貨币的錢包地址進行竊取。
攻擊者還使用 masscan.exe 這類大規模掃描工具,識别 ISP 基礎設施内易受攻擊的 IP 範圍。一旦确定目标,便利用 SSH 或 WINRM 協定進一步獲取訪問權限。
SSH 連接憑證
為了提高攻擊效率,攻擊者利用 Python 編譯的可執行檔案實現自動化操作,這樣既能最大限度減少操作痕迹,又能在受限環境中保持高效運作。像 Superfetch.exe(XMRig 加密礦工)、IntelConfigService.exe(用于逃避防御的 AutoIt 腳本)以及 MicrosoftPrt.exe 等檔案,均已被研究人員标記。這些檔案通常隐藏在諸如 C:WindowsTasks 或 C:ProgramData 等非常規目錄中。此外,該惡意軟體還會操縱系統資料庫項,禁用遠程桌面協定(RDP)服務,注銷活躍用戶,以此阻礙受害方的補救工作。
此次活動凸顯了針對關鍵基礎設施提供商的惡意軟體日益復雜化。
通過将加密挖掘與憑證盜竊和高級持久性機制相結合,攻擊者的目标是最大限度地利用資源,同時逃避檢測。
使用 Telegram 機器人作為 C2 伺服器進一步使傳統的網絡監控工作復雜化。
Splunk 發布了一套檢測規則,幫助組織識别與此活動相關的可疑活動。
這些包括針對不尋常檔案路徑、基于 WINRM 的 PowerShell 執行以及與 Telegram API 相關的 DNS 查詢的警報。
由于互聯網服務提供商 ( ISP ) 仍然是數字連接的重要支柱,此次攻擊凸顯了采取強有力的網絡安全措施的迫切需求。
建議組織實施強密碼策略,密切監控端點活動,并部署先進的威脅檢測工具,以減輕與此類復雜活動相關的風險。
