首页 资讯 安全 查看内容

安全专家警告:Cuba勒索软件使用了新的 RAT(远程访问木马)

2022-8-20 21:42 1239 0

摘要: Cuba勒索软件行动的一名成员正在使用从未出现的新策略、技术和程序 (TTP),包括一种新型 RAT(远程访问木马)和一种新的本地权限提升工具。 攻击者被 Palo Alto Networks Unit 42 的研究人员命名为“Tropical Scorpi ...
关键词: 勒索 天蝎座 热带 软件 Scorpius Tropical 使用 恶意 团伙 工具

Cuba勒索软件行动的一名成员正在使用从未出现的新策略、技术和程序 (TTP),包括一种新型 RAT(远程访问木马)和一种新的本地权限提升工具。

攻击者被 Palo Alto Networks Unit 42 的研究人员命名为“Tropical Scorpius(热带天蝎座)”,很可能是Cuba勒索软件团伙的一个附属机构。

Cuba 勒索软件在2022 年第一季度进行了小幅更新 ,使用了新版加密器,并添加了 quTox 以获得实时受害者支持。

Tropical Scorpius(热带天蝎座)使用标准的Cuba勒索软件恶意组件,自 2019 年启动该行动以来,该有效载荷基本保持不变。

自 2022 年 6 月以来,其中一项新技术是使用(由LAPSUS勒索团伙窃取和泄露的)合法但无效的 NVIDIA 证书来签署感染初始阶段投放的内核驱动程序。

合法证书签署恶意程序,可以帮助恶意软件逃避安全检测。

该驱动程序的任务是发现安全软件的进程并终止,以进一步帮助恶意程序逃避检测。

Tropical Scorpius (热带天蝎座)还使用了一个本地权限提升工具,该工具针对 CVE-2022-24521 漏洞,这是 Windows 通用日志文件系统驱动程序中的一个漏洞,在2022年4 月被修复。

在下一阶段,Tropical Scorpius(热带天蝎座)会下载 ADFind 和 Net Scan 以执行横向移动。

Unit 42 研究人员看到的另一种新技术是使用 ZeroLogon 黑客工具,该工具利用 CVE-2020-1472 漏洞来获得域管理员权限。

最后,Tropical Scorpius (热带天蝎座)部署“ROMCOM RAT”远程访问木马,这是一种以前从未见过的恶意软件,用来处理和C2服务器的通信,以获取、执行C2服务器的各种指令。

Tropical Scorpius (热带天蝎座)的技术升级表明Cuba勒索软件正在演变成更大的威胁,安全专家提醒人们应对该团伙的活动保持警惕。

参考链接:www.bleepingcomputer.com

本文出处: https://www.toutiao.com/article/7130877613417366030/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部