关于BlackCat运营商通过恶意广告分发伪装成WinSCP勒索软件的动态情报

一、基本内容

近期，Trend Micro研究人员发布了一份分析报告，指出与BlackCat勒索软件相关的威胁参与者利用恶意广告技巧来传播恶意安装程序。这些恶意行为者通过克隆网页的方式，利用恶意广告传播恶意软件。具体而言，他们通过劫持关键字，在Bing和Google搜索结果页面上展示虚假广告，将用户重定向到恶意网页。在这个过程中，他们利用了WinSCP文件传输应用程序的名声，诱使用户下载恶意软件。恶意软件中包含了Cobalt Strike Beacon后门，用于与远程服务器进行后续操作，并使用合法工具如AdFind来促进网络发现。此外，威胁行为者还利用终结者防御规避工具，通过自带漏洞驱动程序攻击来篡改安全软件。

二、相关发声情况

Trend Micro科技表示，如果企业在攻击发生后寻求干预，很可能会受到严重影响。因为威胁行为者已经成功获取了域管理员权限，并建立了后门和持久性。这一事件再次凸显了威胁行为者利用广告平台提供恶意软件服务的问题。 除了BlackCat勒索软件，近期还有其他网络安全事件引起关注。微软披露了一项攻击活动，利用广告服务部署BATLOADER，然后用于投放Royal勒索软件。此外，捷克网络安全公司Avast发布了免费解密器，帮助受害者恢复数据，而无需向运营商付费。而新兴的Akira勒索软件则将目标范围扩大到包括Linux系统。 这些事件背后的电子犯罪集团使用共享加密器和基础设施来分发其软件。IBM Security X-Force在最近的一次深入研究中指出，这些加密器旨在加密和混淆恶意软件，以逃避防病毒扫描仪的检测并阻碍分析。它们还被用来传播新的恶意软件变种。 尽管网络犯罪生态系统具有动态性，但勒索软件仍然是一个持续存在的威胁。近期出现了一个名为Rhysida的新勒索软件即服务（RaaS）组织，主要针对西欧、北美、南美以及澳大利亚的教育、政府、制造和技术部门。 

IBM Security X-Force在最近的一次深入研究中表示，该犯罪团伙的加密器是一种旨在加密和混淆恶意软件的应用程序，以逃避防病毒扫描仪的检测并阻碍分析，它们还被用来传播新的恶意软件变种，例如Aresloader、Canyon、CargoBay、DICELOADER、Lumma C2、Matanbuchus、Minodo（以前称为Domino）、Pikabot、SVCReady和Vidar。安全研究人员Charlotte Hammond和Ole Villadsen表示，之前这些加密器主要与ITG23及其密切合作伙伴相关的核心恶意软件家族有关。然而，ITG23的分裂以及新的派系、关系和方法的出现，影响了密码器的使用方式。

三、分析研判

在这个案例中，恶意软件中包含了连接到远程服务器进行后续操作的Cobalt Strike Beacon后门，并使用合法工具AdFind等来促进网络发现。Cobalt Strike提供的访问权限被滥用，用于下载多个程序进行侦察、枚举（PowerView）、横向移动（PsExec）、绕过防病毒软件（KillAV BAT）以及窃取客户数据（PuTTY Secure Copy客户端）。同时，还观察到使用终结者防御规避工具通过自带漏洞驱动程序（BYOVD）攻击来篡改安全软件。在攻击链中，威胁行为者设法获取顶级管理员权限进行后续利用，并尝试使用AnyDesk等远程监控和管理工具，以及访问备份服务器来建立持久性。如果企业稍后寻求干预，很可能会受到严重影响，特别是因为威胁行为者已经成功获得了域管理员权限的初始访问权限，并开始建立后门和持久性。

四、应对策略

针对这一网络安全事件，企业和个人用户应采取以下应对策略：

1. 加强安全意识教育：提高员工和用户对恶意广告和恶意软件的识别能力，避免点击和下载可疑链接和文件。

2. 更新和维护安全软件：及时更新和维护防病毒软件、防火墙等安全工具，确保其能够及时检测和阻止恶意软件的入侵。

3. 定期备份数据：定期备份重要数据，并将备份文件存储在安全的地方，以防止数据丢失或被勒索软件加密。

4. 强化网络安全措施：加强网络安全防护，包括网络入侵检测系统、入侵防御系统等，及时发现和阻止恶意攻击。

5. 密切关注安全厂商的更新和警报：及时关注网络安全公司发布的更新和警报，了解最新的威胁情报和防护措施